如何正确配置sysctl保护服务器安全？

要保护您的Linux服务器免受SYN攻击和IP欺骗并不像你想象的那么难，今天向您简单介绍如何保护你的服务器。

sysctl允许你对运行中的Linux内核进行修改。这个工具可以读取和修改内核的各种属性，比如版本号、最大限制和一些安全设置。

sysctl还可以防止SYN泛滥攻击和IP地址欺骗。它还可以记录几种类型的可疑数据包--被欺骗的数据包、源路由数据包和重定向。

你可以在运行时用sysctl命令修改内核参数，或者你可以在配置文件中进行修改，这样这些修改就更具有永久性。

我想向您展示如何通过快速编辑配置文件来保护sysctl。这个配置将:

禁用IP转发

禁用发送数据包重定向

禁用ICMP重定向接受

准备工作：

正常运行的Linux服务器和具有sudo特权的用户账户。

注意：这里将在Ubuntu Server 18.04上进行演示，但是大多数Linux发行版上的过程都是相同的。

1、如何编辑sysctl配置文件

登录到Linux服务器或台式机，然后打开一个终端窗口。从该终端发出命令：

sudo nano /etc/sysctl.conf

要查找的第一个选项是：

#net.ipv4.ip_forward=1

将该行更改为：

net.ipv4.ip_forward=0

下一行要编辑的是：

#net.ipv4.conf.all.send_redirects = 0

更改为：

net.ipv4.conf.all.send_redirects = 0

在其下添加以下行：

net.ipv4.conf.default.send_redirects = 0

寻找这行：

#net.ipv4.conf.all.accept_redirects = 0

更改为：

net.ipv4.conf.all.accept_redirects = 0

在其下添加以下行：

net.ipv4.conf.default.accept_redirects = 0

最后，在文件底部添加以下几行：

net.ipv4.icmp_ignore_bogus_error_responses = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 2048

net.ipv4.tcp_synack_retries = 3

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45

上面的代码行如下：

启用错误错误消息保护

启用SYN cookie以确保服务器在SYN队列填满时避免断开连接

将SYS待办事项队列大小增加到2048

提前关闭SYN_RECV状态连接

降低SYN_RECV的超时值，以帮助减少SYN Flood攻击

保存并关闭文件。

2、如何重新加载配置

您可以通过以下命令重新加载配置：

sudo sysctl -p

sysctl -p命令的一个警告是，我发现它没有正确加载tcp_max_syn_backlog。直到重新启动后，才添加2048值。因此，在运行sudo sysctl -p命令后，发出以下命令：

sudo less /proc/sys/net/ipv4/tcp_max_syn_backlog

确保显示的值是2048。

如果该值更小，则重新启动服务器。

此时，应该更好地保护Linux服务器免受SYN攻击和IP地址欺骗。享受新发现的安全性。