Ubuntu服务器安全配置:通过内核参数增强系统抗攻击能力
在Linux系统安全防护中,内核参数调优是构建安全基线的重要环节。本文将分享几个在生产环境中验证过的安全配置案例。
1. 禁用不必要的内核模块
# 查看当前加载的模块
lsmod | grep -E "(nf_conntrack|ip_nat|ip6table)"
# 编辑/etc/modprobe.d/blacklist.conf
sudo echo "blacklist nf_conntrack" >> /etc/modprobe.d/blacklist.conf
2. 防止IP地址欺骗攻击
# 启用反向路径检查
sudo sysctl -w net.ipv4.conf.all.rp_filter=1
sudo sysctl -w net.ipv4.conf.default.rp_filter=1
# 持久化配置
echo "net.ipv4.conf.all.rp_filter = 1" >> /etc/sysctl.conf
3. 限制系统资源使用
# 限制进程数
sudo sysctl -w kernel.pid_max=4194304
sudo sysctl -w kernel.threads-max=1048576
# 禁用core dump以防止敏感信息泄露
sudo sysctl -w kernel.core_pattern=/dev/null
4. 启用内核防护机制
# 启用KASLR(内核地址空间布局随机化)
sudo sysctl -w kernel.randomize_va_space=2
# 禁用execve的core dump
sudo sysctl -w kernel.exec-shield=1
以上配置在多个生产环境中验证有效,建议根据实际业务场景进行调整。注意修改前做好备份。
参考链接
注意:所有配置必须在测试环境验证后才能应用于生产环境。
讨论