babi4 · April 19, 2013 07:56
diff --git a/sysctl.conf b/sysctl.conf
 #
 # /etc/sysctl.conf - Configuration file for setting system variables
 # See /etc/sysctl.d/ for additonal system variables
 # See sysctl.conf (5) for information.
 #

 #kernel.domainname = example.com

 # Uncomment the following to stop low-level messages on console
 #kernel.printk = 3 4 1 3

 ##############################################################3
 # Functions previously found in netbase
 #

 # Uncomment the next two lines to enable Spoof protection (reverse-path filter)
 # Turn on Source Address Verification in all interfaces to
 # prevent some spoofing attacks
 #net.ipv4.conf.default.rp_filter=1
 #net.ipv4.conf.all.rp_filter=1

 # Uncomment the next line to enable TCP/IP SYN cookies
 # See http://lwn.net/Articles/277146/
 # Note: This may impact IPv6 TCP sessions too
 #net.ipv4.tcp_syncookies=1

 # Uncomment the next line to enable packet forwarding for IPv4
 #net.ipv4.ip_forward=1

 # Uncomment the next line to enable packet forwarding for IPv6
 #  Enabling this option disables Stateless Address Autoconfiguration
 #  based on Router Advertisements for this host
 #net.ipv6.conf.all.forwarding=1


 ###################################################################
 # Additional settings - these settings can improve the network
 # security of the host and prevent against some network attacks
 # including spoofing attacks and man in the middle attacks through
 # redirection. Some network environments, however, require that these
 # settings are disabled so review and enable them as needed.
 #
 # Do not accept ICMP redirects (prevent MITM attacks)
 #net.ipv4.conf.all.accept_redirects = 0
 #net.ipv6.conf.all.accept_redirects = 0
 # _or_
 # Accept ICMP redirects only for gateways listed in our default
 # gateway list (enabled by default)
 # net.ipv4.conf.all.secure_redirects = 1
 #
 # Do not send ICMP redirects (we are not a router)
 #net.ipv4.conf.all.send_redirects = 0
 #
 # Do not accept IP source route packets (we are not a router)
 #net.ipv4.conf.all.accept_source_route = 0
 #net.ipv6.conf.all.accept_source_route = 0
 #
 # Log Martian Packets
 #net.ipv4.conf.all.log_martians = 1
 #
 #for redis
 vm.overcommit_memory = 1

 #tweak debian http://www.itpad.ru/?p=1154
 #net.core.somaxconn = 262144
 #net.core.netdev_max_backlog = 30000
 #net.core.wmem_default = 4194394
 #net.core.rmem_default = 8388608

 ## Включаем защиту от IP спуфинга, и проверку маршрута от источника

 net.ipv4.conf.all.rp_filter = 1

 net.ipv4.conf.lo.rp_filter = 1

 net.ipv4.conf.eth0.rp_filter = 1

 net.ipv4.conf.default.rp_filter = 1

 ## Отключаем  маршрутизацию TCP пакетов от источника

 net.ipv4.conf.all.accept_source_route = 0

 net.ipv4.conf.lo.accept_source_route = 0

 net.ipv4.conf.eth0.accept_source_route = 0

 net.ipv4.conf.default.accept_source_route = 0

 ##Рекомендуется увеличить размер backlog до 1000 или выше (для 10Gb линка можно поставить 30000)

 net.core.netdev_max_backlog = 10000

 ##Увеличиваем число входящих соединений, которые могут стоять в очереди, прежде чем будут отброшены

 net.core.somaxconn = 262144

 ##Переменная определяет максимальное время хранения SYN-запросов в памяти до момента получения третьего, завершающего установление соединения, пакета

 net.ipv4.tcp_max_syn_backlog = 1024

 ##Максимальное число сокетов, находящихся в состоянии TIME-WAIT одновременно. При превышении этого порога «лишний» сокет разрушается и пишется сообщение в системный журнал. Цель этой переменной – предотвращение простейших разновидностей DoS-атак.

 net.ipv4.tcp_max_tw_buckets = 720000

 net.ipv4.tcp_tw_reuse = 1

 net.ipv4.tcp_tw_recycle = 1

 net.ipv4.tcp_fin_timeout = 30

 net.ipv4.tcp_keepalive_time = 1800

 net.ipv4.tcp_keepalive_probes = 7

 net.ipv4.tcp_keepalive_intvl = 30

 ##Размер буферов по умолчанию для приема и отправки данных через сокеты

 net.core.wmem_default = 4194394

 net.core.rmem_default = 8388608

 ##Увеличиваем максимальный размер памяти отводимой для TCP буферов

 net.core.wmem_max = 33554432

 net.core.rmem_max = 33554432

 ##Тюнинг буферов для TCP и UDP соединений (min, default, max bytes)

 net.ipv4.tcp_rmem = 4096 8388608 16777216

 net.ipv4.tcp_wmem = 4096 4194394 16777216

 ##Отключаем перенаправление пакетов с одного сетевого интерфейса на другой.

 net.ipv4.ip_forward = 0

 ##Фильтр обратного пути, защита от спуфинга (подмены адресов)

 net.ipv4.conf.default.rp_filter = 1

 # Controls whether core dumps will append the PID to the core filename
 # Useful for debugging multi-threaded applications

 kernel.core_uses_pid = 1

 ##Защита  от TCP SYN Cookie

 net.ipv4.tcp_syncookies = 1

 ##Controls the maximum size of a message, in bytes

 kernel.msgmnb = 65536

 ##Controls the default maxmimum size of a mesage queue

 kernel.msgmax = 65536

 ##Controls the maximum shared segment size, in bytes

 kernel.shmmax = 68719476736

 ##Controls the maximum number of shared memory segments, in pages

 kernel.shmall = 4294967296
	#
	# /etc/sysctl.conf - Configuration file for setting system variables
	# See /etc/sysctl.d/ for additonal system variables
	# See sysctl.conf (5) for information.
	#

	#kernel.domainname = example.com

	# Uncomment the following to stop low-level messages on console
	#kernel.printk = 3 4 1 3

	##############################################################3
	# Functions previously found in netbase
	#

	# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
	# Turn on Source Address Verification in all interfaces to
	# prevent some spoofing attacks
	#net.ipv4.conf.default.rp_filter=1
	#net.ipv4.conf.all.rp_filter=1

	# Uncomment the next line to enable TCP/IP SYN cookies
	# See http://lwn.net/Articles/277146/
	# Note: This may impact IPv6 TCP sessions too
	#net.ipv4.tcp_syncookies=1

	# Uncomment the next line to enable packet forwarding for IPv4
	#net.ipv4.ip_forward=1

	# Uncomment the next line to enable packet forwarding for IPv6
	# Enabling this option disables Stateless Address Autoconfiguration
	# based on Router Advertisements for this host
	#net.ipv6.conf.all.forwarding=1


	###################################################################
	# Additional settings - these settings can improve the network
	# security of the host and prevent against some network attacks
	# including spoofing attacks and man in the middle attacks through
	# redirection. Some network environments, however, require that these
	# settings are disabled so review and enable them as needed.
	#
	# Do not accept ICMP redirects (prevent MITM attacks)
	#net.ipv4.conf.all.accept_redirects = 0
	#net.ipv6.conf.all.accept_redirects = 0
	# _or_
	# Accept ICMP redirects only for gateways listed in our default
	# gateway list (enabled by default)
	# net.ipv4.conf.all.secure_redirects = 1
	#
	# Do not send ICMP redirects (we are not a router)
	#net.ipv4.conf.all.send_redirects = 0
	#
	# Do not accept IP source route packets (we are not a router)
	#net.ipv4.conf.all.accept_source_route = 0
	#net.ipv6.conf.all.accept_source_route = 0
	#
	# Log Martian Packets
	#net.ipv4.conf.all.log_martians = 1
	#
	#for redis
	vm.overcommit_memory = 1

	#tweak debian http://www.itpad.ru/?p=1154
	#net.core.somaxconn = 262144
	#net.core.netdev_max_backlog = 30000
	#net.core.wmem_default = 4194394
	#net.core.rmem_default = 8388608

	## Включаем защиту от IP спуфинга, и проверку маршрута от источника

	net.ipv4.conf.all.rp_filter = 1

	net.ipv4.conf.lo.rp_filter = 1

	net.ipv4.conf.eth0.rp_filter = 1

	net.ipv4.conf.default.rp_filter = 1

	## Отключаем маршрутизацию TCP пакетов от источника

	net.ipv4.conf.all.accept_source_route = 0

	net.ipv4.conf.lo.accept_source_route = 0

	net.ipv4.conf.eth0.accept_source_route = 0

	net.ipv4.conf.default.accept_source_route = 0

	##Рекомендуется увеличить размер backlog до 1000 или выше (для 10Gb линка можно поставить 30000)

	net.core.netdev_max_backlog = 10000

	##Увеличиваем число входящих соединений, которые могут стоять в очереди, прежде чем будут отброшены

	net.core.somaxconn = 262144

	##Переменная определяет максимальное время хранения SYN-запросов в памяти до момента получения третьего, завершающего установление соединения, пакета

	net.ipv4.tcp_max_syn_backlog = 1024

	##Максимальное число сокетов, находящихся в состоянии TIME-WAIT одновременно. При превышении этого порога «лишний» сокет разрушается и пишется сообщение в системный журнал. Цель этой переменной – предотвращение простейших разновидностей DoS-атак.

	net.ipv4.tcp_max_tw_buckets = 720000

	net.ipv4.tcp_tw_reuse = 1

	net.ipv4.tcp_tw_recycle = 1

	net.ipv4.tcp_fin_timeout = 30

	net.ipv4.tcp_keepalive_time = 1800

	net.ipv4.tcp_keepalive_probes = 7

	net.ipv4.tcp_keepalive_intvl = 30

	##Размер буферов по умолчанию для приема и отправки данных через сокеты

	net.core.wmem_default = 4194394

	net.core.rmem_default = 8388608

	##Увеличиваем максимальный размер памяти отводимой для TCP буферов

	net.core.wmem_max = 33554432

	net.core.rmem_max = 33554432

	##Тюнинг буферов для TCP и UDP соединений (min, default, max bytes)

	net.ipv4.tcp_rmem = 4096 8388608 16777216

	net.ipv4.tcp_wmem = 4096 4194394 16777216

	##Отключаем перенаправление пакетов с одного сетевого интерфейса на другой.

	net.ipv4.ip_forward = 0

	##Фильтр обратного пути, защита от спуфинга (подмены адресов)

	net.ipv4.conf.default.rp_filter = 1

	# Controls whether core dumps will append the PID to the core filename
	# Useful for debugging multi-threaded applications

	kernel.core_uses_pid = 1

	##Защита от TCP SYN Cookie

	net.ipv4.tcp_syncookies = 1

	##Controls the maximum size of a message, in bytes

	kernel.msgmnb = 65536

	##Controls the default maxmimum size of a mesage queue

	kernel.msgmax = 65536

	##Controls the maximum shared segment size, in bytes

	kernel.shmmax = 68719476736

	##Controls the maximum number of shared memory segments, in pages

	kernel.shmall = 4294967296
No results found