[Linux] 리눅스 커널 파라메터 튜닝

# 외부 ping 막기
/proc/sys/net/ipv4/icmp_echo_ignore_all : 0 => 1

#smurf 공격 방지를 위한 broadcast 패킷방지하기
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts : 0 => 1
특정 네트워크의 broadcast 주소를 대상으로 패킷을 보내게 되면 그 네트워크에 존재하는 모든 서버들은 모두 이 패킷을 받게되며 그
네트워크 내의 트래픽 부하를 발생하게 된다.

# icmp 막으면 설정 필요하지 않음.
# 1/100초 동안 dest unreash (type 3) icmp 횟수 설정
/proc/sys/net/ipv4/icmp_destunreash_rate : 1

# 1/100초에 반응하는 icmp echo reply 횟수 설정
/proc/sys/net/ipv4/icmp_echoreply_rate : 1

# 세션 종료시간 조정
/proc/sys/net/ipv4/tcp_fin_timeout : 60 => 10 or 20

# TCP Keepalive time 설정
/proc/sys/net/ipv4/tcp_keepalive_time : 7200(2 hour) => 1200(20 min.)

# SYN_Flooding 공격막기
/proc/sys/net/ipv4/tcp_syncookies : 0 => 1
/proc/sys/net/ipv4/tcp_max_syn_backlog : 1024

 

# ICMP redirect 변조된 패킷 차단 (accept 패킷 차단설정)
/proc/sys/net/ipv4/conf/default/accept_redirects : 1 => 0

#ICMP redirect 의 변도된 패킷 차단 (send 패킷 차단설정)
/proc/sys/net/ipv4/conf/default/send_redirects : 1 => 0

# DOS 공격 source 사용 차단 (IP 스푸핑 방지하기)
/proc/sys/net/ipv4/conf/default/rp_filter : 0 => 1

# 스푸핑 등의 패킷에 대한 로그 남기기
/proc/sys/net/ipv4/conf/default/log_martians : 0 => 1

# Source Route 패킷허용 막기 ( 신뢰받는 호스트로 위장하는 것 막기)
/proc/sys/net/ipv4/conf/default/accept_source_route : 0 으로 설정

# 커널에서 사용할 수 있는 최대파일 수 설정하기
/proc/sys/fs/file_max : 8192 => 24978