14.11.1. Параметры ядра

14.11.1. Параметры ядра

Для начала откроем конфигурационный файл /etc/sysctl.conf. В нем находятся параметры ядра. Пример файла можно увидеть в листинге 14.1.

Листинг 14.1. Конфигурационный файл /etc/sysctl.conf

# Kernel sysctl configuration file for Red Hat Linux

# Конфигурационный файл ядра для Red Hat Linux

# For binary values, 0 is disabled, 1 is enabled.

# See sysctl(8) for more details.

# Для бинарных значений, 0 - это отключен, а 1 - включен.

# Смотрите man sysctl для получения дополнительной информации

# Controls IP packet forwarding

# Контролирует переадресацию IP-пакетов

net.ipv4.ip_forward = 0

# Controls source route verification

# Контроль проверки маршрутизации от источника

net.ipv4.conf.default.rp_filter = 1

kernel.sysrq = 1

kernel.core_uses_pid = 1

#net.ipv4.tcp_ecn = 0

kernel.grsecurity.fifo_restrictions = 1

kernel.grsecurity.linking_restrictions = 1

# audit some operations

# аудит некоторых операций

kernel.grsecurity.audit_mount = 1

kernel.grsecurity.signal_logging = 1

#kernel.grsecurity.suid_logging = 1

kernel.grsecurity.timechange_logging = 1

kernel.grsecurity.forkfail_logging = 1

kernel.grsecurity.coredump = 1

# lock all security options

# блокировка всех опций безопасности

#kernel.grsecurity.grsec_lock = 1

Что представляют собой параметры, которые вы можете видеть в файле? Попробуем разобраться на примере net.ipv4.tcp_ecn. На самом деле это путь к файлу относительно каталога /proc/sys, в данном случае это файл /proc/sys/net/ipv4/tcp_ecn. Как видите, я просто заменил в параметре все точки на символ слэш и прибавил результат к подкаталогу /proc/sys. Выполните следующую команду, чтобы просмотреть содержимое файла:

cat /proc/sys/net/ipv4/tcp_ecn

В результате на экране вы должны увидеть 0 или 1. Это и есть значение параметра.

Но корректировать файл вручную нет смысла. Для изменения лучше использовать команду:

sysctl -w имя_параметра = значение

С помощью этой же команды можно просматривать значение параметров ядра:

sysctl имя_параметра

Например, следующая директива отобразит значение параметра

net.ipv4.tcp_ecn:

sysctl net.ipv4.tcp_ecn

В результате вы увидите то же значение, что и при просмотре файла /proc/sys/net/ipv4/tcp_ecn напрямую. Большинство параметров имеют логический тип, т.е. могут быть равны 0 (отключено) или 1 (включено).

Рассмотрим параметры, которые нужно изменить, а если их нет в файле, то добавить:

net.ipv4.icmp_echo_ignore_broadcasts — игнорировать широковещательные эхо-ICMP-пакеты (параметр включен);

net.ipv4.icmp_echo_ignore_all — запретить эхо-ICMP-пакеты (значение 1). Используйте этот параметр, если не хотите связываться с сетевым экраном. Запрет эхо-пакетов уменьшит трафик, хотя и незначительно, и при этом делает неэффективными любые атаки с помощью ping;

net.ipv4.conf.*.accept_redirects — разрешить принимать перенаправления маршрутизатора. В разд. 4.5.3 мы говорили о том. что это небезопасно и может позволить хакеру обмануть маршрутизатор и прослушать трафик атакуемой машины;

Вместо символа звездочка может быть любое имя директории. Дело в том, что в каталоге net.ipv4.conf находится несколько подкаталогов — по одному для каждого сетевого интерфейса. В вашей системе должно быть как минимум 4 директории со следующим распределением содержащейся в них информации:

 • all — конфигурационные файлы, которые влияют на все интерфейсы;

 • default — значения по умолчанию;

 • eth0 — конфигурационные файлы первой сетевой карты;

 • lo — конфигурационные файлы петлевого интерфейса loopback.

Звездочка указывает на то, что параметр должен быть назначен всем интерфейсам. В большинстве случаев достаточно заменить "*" на имя директории all, но иногда приходится подставлять все существующие директории;

net.ipv4.conf.*.secure_redirects — позволить принимать сообщения от шлюза по умолчанию о перенаправлении маршрутизатора. Параметр может быть включен, только если в вашей сети действительно более одного маршрутизатора, иначе лучше запретить;

net.ipv4.conf.*.send_redirects — разрешить компьютеру, если он является маршрутизатором, отправлять сообщения о перенаправлении пакетов. Если в сети несколько маршрутизаторов, то параметр можно включить, чтобы распределить нагрузку между ними и не пытаться пропускать весь трафик через основной шлюз;

net.ipv4.conf.*.accept_source_route — позволить принимать пакеты с маршрутизацией от источника. В разд. 14.12.2 мы поговорим об этом, а сейчас необходимо знать, что такие пакеты могут стать причиной обхода вашего сетевого экрана. Запретите этот параметр;

net.ip_always_defrag — дефрагментировать все приходящие пакеты. Так уж повелось, что сетевой экран проверяет только первый пакет, а все остальные считает разрешенными. Хакер может обойти сетевой экран, прибегая к разбивке посылки на части (см. разд. 4.13). Если установить этот параметр, то все входящие пакеты будут дефрагментированы, и обход сетевого экрана этим методом станет невозможным;

net.ipv4.ipfrag_low_thresh — определяет минимальный объем памяти, который выделяет ОС для сборки фрагментированных пакетов. Чем больше это значение, тем меньше будет манипуляций по выделению памяти. По умолчанию используется число 196608. Слишком большое значение отнимет лишнюю память и может привести к эффекту, при котором для обработки данных не хватит ресурсов сервера. Я бы оставил это значение по умолчанию;

net.ipv4.ipfrag_high_thresh — определяет максимальное количество памяти (по умолчанию 262144), выделяемое для сборки фрагментированных пакетов. Если значение превышено, то ОС начинает отбрасывать пакеты. Таким образом, хакер может закидать сервер большим количеством мусорных сообщений, и тот больше не будет выполнять дефрагментацию;

net.ipv4.ipfrag_time — определяет время хранения фрагментированных пакетов в кэше. По умолчанию используется значение 30 секунд. Это очень много, за это время хакер сможет забросать весь кэш. В случае атаки на систему следует понизить это значение до 20, а то и до 10 секунд;

net.ipv4.tcp_syncookies — продолжая тему DoS, я рекомендую включить этот параметр, чтобы защититься от атаки SYN flood, при которой на сервер направляется большое количество пакетов с запросом на соединение. Хакер устанавливает в пакетах ложный обратный адрес, и сервер ожидает соединения от несуществующих или ничего не подозревающих компьютеров. Таким образом, легко превышается максимально допустимое количество подключений.

Параметров ядра очень много, и рассматривать все мы не будем. Советую обратиться к документации.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Свитки настроек Shader Basic Parameters (Основные параметры затенения) и Basic Parameters (Основные параметры)

Из книги 3ds Max 2008 автора Верстак Владимир Антонович

Свитки настроек Shader Basic Parameters (Основные параметры затенения) и Basic Parameters (Основные параметры) Свитки Shader Basic Parameters (Основные параметры затенения) и Basic Parameters (Основные параметры) (рис. 3.5) позволяют настраивать параметры тонированной раскраски, трех главных компонентов цвета


5.8.6. Параметры ядра

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

5.8.6. Параметры ядра Параметр debug ядра Linux задает уровень отладки. Сообщения ядра (важные и не очень) передаются через функцию prinfk(). Если сообщение очень важное, то его копия будет передана на консоль, а также демону klogd для регистрации сообщения на жестком диске. Сообщения


18.1. Параметры ядра

Из книги Разработка приложений в среде Linux. Второе издание автора Джонсон Майкл К.

18.1. Параметры ядра Во время загрузки ядру ОС Linux могут быть переданы различные параметры. В этой главе будут рассмотрены не все параметры ядра (полное их описание занимает достаточно много места). За более подробным их описанием вам следует обратиться к BootPrompt-HOWTO. Передача


18.1.4. Другие параметры ядра

Из книги Linux: Полное руководство автора Колисниченко Денис Николаевич

18.1.4. Другие параметры ядра debugСообщения ядра (важные и не очень) передаются через функцию printk(). Если сообщение очень важно, то его копия будет передана на консоль, а также функции klogd() для его регистрации на жестком диске.Сообщения передаются на консоль, потому что иногда


18.3. Компилирование ядра

Из книги Введение в QNX/Neutrino 2. Руководство по программированию приложений реального времени в QNX Realtime Platform автора Кёртен Роб

18.3. Компилирование ядра Теперь, когда все устройства сконфигурированы, нужно сохранить файл конфигурации ядра и перейти непосредственно к этапу компилирования ядра. Введите команду:# make depПосле завершения ее работы необходимо ввести команду:# make bzImageЕсли исходники ядра и


10.4.7. Дамп ядра

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

10.4.7. Дамп ядра Хотя мы уже упоминали, что передача SIGTERM и SIGKILL функции kill() прерывает процесс, вы также можете использовать несколько других значений (все они описаны в главе 12). Некоторые из них, такие как SIGABRT, заставляют программу перед уничтожением сбрасывать дамп ядра


20.3. Динамические параметры ядра

Из книги C++ для начинающих автора Липпман Стенли

20.3. Динамические параметры ядра Файлы в каталоге /proc — это на самом деле информационные каналы, реализующие интерфейс между ядром и прикладными программами. Они разработаны для повышения гибкости ядра, позволяя системному администратору корректировать его поведение


20.4. Загрузочные параметры ядра

Из книги UNIX: разработка сетевых приложений автора Стивенс Уильям Ричард

20.4. Загрузочные параметры ядра Полное описание параметров, которые можно передать ядру в ходе начальной загрузки, занимает достаточно много места, поэтому в этом параграфе я рассмотрю только основные из них. За более подробным их описанием вам следует обратиться к


20.4.5. Другие параметры ядра

Из книги Разработка ядра Linux автора Лав Роберт

20.4.5. Другие параметры ядра ? debug: сообщения ядра (важные и не очень) передаются через функцию printk(). Если сообщение очень важно, то его копия будет передана на консоль, а также функции klogd() для его регистрации на жестком диске. Сообщения передаются на консоль, потому что


20.5.2. Конфигурирование ядра

Из книги автора

20.5.2. Конфигурирование ядра Когда вы строите из исходников прикладную программу, первым шагом сборки обычно бывает выполнение сценария configure. Ядро тоже нужно конфигурировать. Его настройки находятся в текстовом файле .config в каталоге исходных кодов. Этот файл можно


20.5.3.Сборка ядра

Из книги автора

20.5.3.Сборка ядра Теперь, когда все устройства сконфигурированы, нужно сохранить файл конфигурации ядра и перейти непосредственно к этапу сборки ядра.Для сборки вам понадобится программное обеспечение, необходимые версии которого перечислены в таблице 20.4.Необходимое


Роль ядра

Из книги автора

Роль ядра Наша аналогия с процессами в жилом доме прекрасна для объяснения концепций синхронизации, но бесполезна при анализе одной очень важной проблемы. В доме у нас было много потоков, работающих одновременно. Однако в реальной жизненной ситуации обычно имеется


14.11.1. Параметры ядра

Из книги автора

14.11.1. Параметры ядра Для начала откроем конфигурационный файл /etc/sysctl.conf. В нем находятся параметры ядра. Пример файла можно увидеть в листинге 14.1.Листинг 14.1. Конфигурационный файл /etc/sysctl.conf# Kernel sysctl configuration file for Red Hat Linux# Конфигурационный файл ядра для Red Hat Linux# For binary values, 0 is


7.3.2. Параметры-ссылки и параметры-указатели

Из книги автора

7.3.2. Параметры-ссылки и параметры-указатели Когда же лучше использовать параметры-ссылки, а когда – параметры-указатели? В конце концов, и те и другие позволяют функции модифицировать объекты, эффективно передавать в функцию большие объекты типа класса. Что выбрать:


27.5. Параметры транзитных узлов и параметры получателя IPv6

Из книги автора

27.5. Параметры транзитных узлов и параметры получателя IPv6 Параметры для транзитных узлов и параметры получателя IPv6 имеют одинаковый формат, показанный на рис. 27.3. Восьмиразрядное поле следующий заголовок (next header) идентифицирует следующий заголовок, который следует за


Конфигурационные параметры отладки ядра

Из книги автора

Конфигурационные параметры отладки ядра Существует несколько конфигурационных параметров, которые помогают в отладке и тестировании кода ядра и которые включаются во время компиляции. Эти параметры доступны в пункте Kernel hacking меню редактора конфигурации ядра. Все эти