Настраиваем сервер для LiveStreet. Часть III. Некоторые настройки ядра, репозитории и базовые утилиты.
Предыдущие части:
Сначала мы сделаем некоторые настройки ядра, за этот совет благодарность уходит господину ewden .
Редактируем файл /etc/sysctl.conf:
Я привожу конфигурацию от ewden целиком:
Читать дальше →
Сначала мы сделаем некоторые настройки ядра, за этот совет благодарность уходит господину ewden .
Редактируем файл /etc/sysctl.conf:
vim /etc/sysctl.conf
Я привожу конфигурацию от ewden целиком:
# Допустим случись у нас какой-то косяк с системой или ядром. # Может произойти паника ядра (Kernel Panic) # На сий случай есть настройка, указывающая, что система должна будет перезагрузится в течении 10 сек в примере: kernel.panic = 12 # включение проверки маршрута от источника. Может быть полезно против некоторых видов спуфинг-атак. net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1 # След. опция разрешает/запрещает передачу так называемых syncookies вызывающему хосту # в случае переполнения очереди SYN-пакетов для заданного сокета. Когда в # систему поступает слишком много запросов на соединение, то очередь может # переполниться и тогда запускается передача syncookies в ответ на каждый # SYN-запрос. Эта переменная используется для предотвращения syn-flood атак. net.ipv4.tcp_syncookies=1 # Устанавливает параметры приёма icmp-сообщений о переодресации # Которые используются для уведомления (обычно маршрутизаторов) # О существовании лучшего маршрута передачи пакетов целевому хосту. # Включение параметра может справоцировать атаку человек по середине (Man In The Middle) net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 # Разрешает или запрещает нашему хосту передачу выще упомянутых сообщений переадресации. net.ipv4.conf.all.send_redirects = 0 # Позволяет отправителю определить путь, по которому должен следовать пакет по сети. # Может позволить посторонним произвести подмену адресов. net.ipv4.conf.all.accept_source_route = 0 # Игнорироваться ICMP сообщения, отправленные на # широковещательный или групповой адрес. Вполне очевидно, почему полезно # включить этот параметр - защита от smurf атак. net.ipv4.icmp_echo_ignore_broadcasts = 1 # Контролирует процент свободной памяти, при которой начнется активный сброс страниц в раздел swap. vm.swappiness=10
Читать дальше →