操作系统是RHEL 6.2。
我似乎遇到了 SELinux 的问题。/etc/sysconfig/selinux
但是,当我的主机启动命令时,我已禁用它sestatus
,表明我处于宽容模式。
在 Stack Exchange 中的搜索让我看到了这个 U&L 问答:如何永久禁用 SELinux?。这个问题提到了一个听起来与我相似的场景。
这促使我产生以下问题:
net.ipv4.tcp_syncookies=1
(=0)是什么意思?- 将其改为 0 安全吗?
笔记:我原来的问题与 automount/nfs 有关。
有时,当远程文件系统既没有挂载也没有卸载时,我们必须重新启动autofs
。我不知道这是否是在交通繁忙的情况下发生的,或者这个问题是否与net.ipv4.tcp_syncookies
上述问题有关。
因此,我试图更好地理解,net.ipv4.tcp_syncookies
以便确定这是否与我的autofs
问题有关。
答案1
net.ipv4.tcp_syncookies=1
有助于防止系统上的 SYN 洪水攻击。值为 0 将禁用它。从安全角度来看,最好将其保持打开状态,即设置值为 1。但是,将其关闭非常安全。
答案2
tcp_syncookies- BOOLEAN 仅当内核使用 CONFIG_SYN_COOKIES 编译时有效 当套接字的 syn 积压队列溢出时发送 syncookie。这是为了防止常见的“SYN 洪水攻击” 默认值:1
请注意,syncookies 是后备设施。它不得用于帮助高负载服务器对抗合法连接率。如果您在日志中看到 SYN 洪水警告,但调查显示这些警告是由于合法连接过载而发生的,你应该调整另一个参数直到该警告消失。请参阅:tcp_max_syn_backlog、tcp_synack_retries、tcp_abort_on_overflow。
syncookies 严重违反 TCP 协议,不允许使用 TCP 扩展,可能导致某些服务严重降级(例如 SMTP 中继),您不可见,但您的客户端和中继与您联系。当您在日志中看到 SYN 洪水警告时并没有真正被淹没,你的服务器 配置严重错误。
(强调我的)
所以这与 SELinux 无关,而且很可能与您的 NFS/autofs 问题无关。