1. 程式人生 > >linux 服務器安全加固和內核參數調優 nf_conntrack

linux 服務器安全加固和內核參數調優 nf_conntrack

無法 即使 sta 遠程 內核調優 大文件 加固 行鎖 程序

0.內部設置跳板機,服務器只能通過跳板機登錄
1
.禁止ROOT用戶遠程登錄和登錄端口 禁止ROOT用戶遠程登錄 。打開 /etc/ssh/sshd_config PermitRootLogin no 2.對用戶密碼強度的設定 12個字符以上,大小寫,特殊字符 3.對重要的文件進行鎖定,即使ROOT用戶也無法刪除 chattr 改變文件或目錄的擴展屬性 lsattr 查看文件目錄的擴展屬性 chattr +i /etc/passwd /etc/shadow //增加屬性 chattr -i /etc/passwd /etc/shadow //
移除屬性 lsattr /etc/passwd /etc/shadow --------------------- https://blog.csdn.net/qq_36119192/article/details/82906799

內核參數調優:
0.redis服務器內核調優
就一條
vm.overcommit_memory = 1
為了避免當系統內存不足時,系統殺掉內存占用最大的程序(往往都是redis QAQ)。
不要忘了執行命令生效一下
1.#增大文件描述符
ulimit -n 65536
echo -ne "
* soft nofile 65536
* hard nofile 65536
" >>/etc/security/limits.conf 2.#修改系統線程限制 echo -ne " * soft nproc 2048 * hard nproc 4096 " >>/etc/security/limits.conf
0.鏈接追蹤表問題
nginx服務器在開啟防火墻時最容易遇到如下情況
執行dmesg命令,查看系統打印信息
nf_conntrack: table full, dropping packet
(鏈接追蹤表已滿)
這是相當常見的問題,而且十分嚴重,導致服務器隨機丟棄請求,你的並發突破不了幾千。

調優方式:
增加或者修改內核參數
vim 
/etc/sysctl.conf net.nf_conntrack_max = 655360 (狀態跟蹤表的最大行數,16G的服務器) net.netfilter.nf_conntrack_tcp_timeout_established = 1200(設置超時時間) 修改完畢後執行sysctl-p生效命令。 參考:https://www.cnblogs.com/kerwinC/p/6835208.html

linux 服務器安全加固和內核參數調優 nf_conntrack