Quản Trị  Bảo Mật - Virus - Backup
 
Cấu hình cho Syctl.conf
10:02 | 10/04/2010

Mục đích của việc cấu hình syctl là nhầm chống spoofing và các cuộc tấn công ddos. Sau đây là hướng dẫn để cấu hình tốt cho Syctl.
Chú ý là eth0 là tên card mạng các bạn phải thay đúng tên theo cấu hình của server mình.
Mở file cấu hình syctl tại /etc/sysctl.conf và chèn vào nội dung sau:

01.
02.
#Kernel sysctl configuration file for Red Hat Linux
03.#
04.# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
05.# sysctl.conf(5) for more details.
06. 
07.# Disables packet forwarding
08.net.ipv4.ip_forward=0
09. 
10.# Disables IP source routing
11.net.ipv4.conf.all.accept_source_route = 0
12.net.ipv4.conf.lo.accept_source_route = 0
13.net.ipv4.conf.eth0.accept_source_route = 0
14.net.ipv4.conf.default.accept_source_route = 0
15. 
16.# Enable IP spoofing protection, turn on source route verification
17.net.ipv4.conf.all.rp_filter = 1
18.net.ipv4.conf.lo.rp_filter = 1
19.net.ipv4.conf.eth0.rp_filter = 1
20.net.ipv4.conf.default.rp_filter = 1
21. 
22.# Disable ICMP Redirect Acceptance
23.net.ipv4.conf.all.accept_redirects = 0
24.net.ipv4.conf.lo.accept_redirects = 0
25.net.ipv4.conf.eth0.accept_redirects = 0
26.net.ipv4.conf.default.accept_redirects = 0
27. 
28.# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
29.net.ipv4.conf.all.log_martians = 0
30.net.ipv4.conf.lo.log_martians = 0
31.net.ipv4.conf.eth0.log_martians = 0
32. 
33.# Disables IP source routing
34.net.ipv4.conf.all.accept_source_route = 0
35.net.ipv4.conf.lo.accept_source_route = 0
36.net.ipv4.conf.eth0.accept_source_route = 0
37.net.ipv4.conf.default.accept_source_route = 0
38. 
39.# Enable IP spoofing protection, turn on source route verification
40.net.ipv4.conf.all.rp_filter = 1
41.net.ipv4.conf.lo.rp_filter = 1
42.net.ipv4.conf.eth0.rp_filter = 1
43.net.ipv4.conf.default.rp_filter = 1
44. 
45.# Disable ICMP Redirect Acceptance
46.net.ipv4.conf.all.accept_redirects = 0
47.net.ipv4.conf.lo.accept_redirects = 0
48.net.ipv4.conf.eth0.accept_redirects = 0
49.net.ipv4.conf.default.accept_redirects = 0
50. 
51.# Disables the magic-sysrq key
52.kernel.sysrq = 0
53. 
54.# Decrease the time default value for tcp_fin_timeout connection
55.net.ipv4.tcp_fin_timeout = 15
56. 
57.# Decrease the time default value for tcp_keepalive_time connection
58.net.ipv4.tcp_keepalive_time = 1800
59. 
60.# Turn off the tcp_window_scaling
61.net.ipv4.tcp_window_scaling = 0
62. 
63.# Turn off the tcp_sack
64.net.ipv4.tcp_sack = 0
65. 
66.# Turn off the tcp_timestamps
67.net.ipv4.tcp_timestamps = 0
68. 
69.# Enable TCP SYN Cookie Protection
70.net.ipv4.tcp_syncookies = 1
71. 
72.# Enable ignoring broadcasts request
73.net.ipv4.icmp_echo_ignore_broadcasts = 1
74. 
75.# Enable bad error message Protection
76.net.ipv4.icmp_ignore_bogus_error_responses = 1
77. 
78.# Log Spoofed Packets, Source Routed Packets, Redirect Packets
79.net.ipv4.conf.all.log_martians = 1
80. 
81.# Increases the size of the socket queue (effectively, q0).
82.net.ipv4.tcp_max_syn_backlog = 1024
83. 
84.# Increase the tcp-time-wait buckets pool size
85.net.ipv4.tcp_max_tw_buckets = 1440000
86. 
87.# Allowed local port range
88.net.ipv4.ip_local_port_range = 16384 65536

Sau khi save lại, việc cuối cùng bạn phải làm là gõ:
/sbin/sysctl -p
sysctl -w net.ipv4.route.flush=1

để áp dụng cấu hình vừa đặt mà không cần phải khởi động lại.

Chúc các bạn thành công !

Nguyễn Thăng Long (Kenhgiaiphap.vn)
 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Tấn Công dò mật khẩu Brute-Force Trên VPS
- Cấu hình phần mềm APC UPS
- Hướng dẫn backup trên Commvault Software (Phần 2)
- Tìm hiểu về DHCP Server Security (phần 2)
- Tìm hiểu về DHCP Server Security (phần 1)
- 10 công cụ backup của Linux
- Bảo mật cổng 445 trong Windows 2000/XP/2003
- Kỹ thuật hack password Gmail
- Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua
- 8 bước để bảo vệ Router Cisco
Các tin liên quan :
- Mật khẩu Windows có thể bị crack như thế nào – Phần 2
- Mật khẩu Windows có thể bị crack như thế nào – Phần 1
Bài nhiều người đọc cùng chuyên mục
Kỹ thuật hack password Gmail
 
Tổng quan bảo mật server Linux (CentOS) – Phần 1
 
Mật khẩu Windows có thể bị crack như thế nào – Phần 1
 
Mật khẩu Windows có thể bị crack như thế nào – Phần 2
 
Xóa cache trong Windows 7/ Vista / Xp/ 2000 / 2003/ 2008
 
Bảo mật cổng 445 trong Windows 2000/XP/2003
 
Tấn Công dò mật khẩu Brute-Force Trên VPS
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.

return false; });