zoukankan      html  css  js  c++  java
  • linux 服务器安全加固和内核参数调优 nf_conntrack TIME_WAIT太多

    0.内部设置跳板机,服务器只能通过跳板机登录
    1
    .禁止ROOT用户远程登录和登录端口 禁止ROOT用户远程登录 。打开 /etc/ssh/sshd_config PermitRootLogin no 2.对用户密码强度的设定 12个字符以上,大小写,特殊字符 3.对重要的文件进行锁定,即使ROOT用户也无法删除 chattr    改变文件或目录的扩展属性 lsattr    查看文件目录的扩展属性 chattr  +i  /etc/passwd /etc/shadow                 //增加属性 chattr  -i  /etc/passwd /etc/shadow                 //移除属性   lsattr  /etc/passwd /etc/shadow --------------------- https://blog.csdn.net/qq_36119192/article/details/82906799
    内核参数调优:
    0.redis服务器内核调优
    就一条
    vm.overcommit_memory = 1
    为了避免当系统内存不足时,系统杀掉内存占用最大的程序(往往都是redis QAQ)。
    不要忘了执行命令生效一下
    1.#增大文件描述符
    ulimit -n 65536
    echo -ne "
    * soft nofile 65536
    * hard nofile 65536
    " >>/etc/security/limits.conf
    
    2.#修改系统线程限制
    echo -ne "
    * soft nproc 2048
    * hard nproc 4096
    " >>/etc/security/limits.conf
    0.链接追踪表问题
    nginx服务器在开启防火墙时最容易遇到如下情况
    执行dmesg命令,查看系统打印信息
    nf_conntrack: table full, dropping packet
    (链接追踪表已满)
    这是相当常见的问题,而且十分严重,导致服务器随机丢弃请求,你的并发突破不了几千。
    
    调优方式:
    增加或者修改内核参数
    vim /etc/sysctl.conf
    net.nf_conntrack_max = 655360 (状态跟踪表的最大行数,16G的服务器)
    net.netfilter.nf_conntrack_tcp_timeout_established = 1200(设置超时时间)
    修改完毕后执行sysctl-p生效命令。
    参考:https://www.cnblogs.com/kerwinC/p/6835208.html

    4.TIME_WAIT(时间等待计时器)状态是什么?

    简单来说,TIME_WAIT状态是四次挥手中服务器向客户端发送FIN终止连接后进入的状态。  (四次断开两次FIN两次ack)

     要解决问题,需要在/etc/sysctl.conf中加配置开启net.ipv4.tcp_tw_recicle=1,sysctl  -p  (nat网络模式则要设置关闭,=0,否则有很多报错)

  • 相关阅读:
    trackr: An AngularJS app with a Java 8 backend – Part III
    trackr: An AngularJS app with a Java 8 backend – Part II
    21. Wireless tools (无线工具 5个)
    20. Web proxies (网页代理 4个)
    19. Rootkit detectors (隐形工具包检测器 5个)
    18. Fuzzers (模糊测试器 4个)
    16. Antimalware (反病毒 3个)
    17. Debuggers (调试器 5个)
    15. Password auditing (密码审核 12个)
    14. Encryption tools (加密工具 8个)
  • 原文地址:https://www.cnblogs.com/hixiaowei/p/10658379.html
Copyright © 2011-2022 走看看