我正在关注 精通 Linux 安全性和强化,第 3 版,作者:Donald a. Tevault 在 Ubuntu 22.04 VPS 上。 我已接受内核参数lynis值的建议,正如所推荐的。1kernel.modules_disabled $ sudo apt install lynis $ lynis audit system | grep kernel.modules_disabled - kernel.modules_disabled (exp: 1) [ DIFFERENT ] $ sudo e...
如何知道 Red Hat Linux 机器上动态端口分配的范围 从 Linux 开始,我们 sysctl -a | egrep "net.inet.ip.portrange.first|net.inet.ip.portrange.last" 但这些参数不在内核配置中 参数是否等同于文件中的设置- /proc/sys/net/ipv4/ip_local_port_range? more /proc/sys/net/ipv4/ip_local_port_range 1024 65535 ...
在 Linux CentOS7 上,sysctl 无法在逻辑/vlan/子接口上禁用 IPv6: $ ip -6 -o a show dev bond0.53 20: bond0.53 inet6 fe80::b283:feff:fee6:ba1/64 scope link \ valid_lft forever preferred_lft forever $ sudo sysctl -w net.ipv6.conf.bond0.53.disable_ipv6=1 sysctl: cannot stat /proc/sys/net/ipv6...
net.core.netdev_max_backlog 我们想了解内核值非常低且不符合建议值时会出现哪些情况 在我们的 Linux RHEL 机器上,此参数的值为1000 因为我们的机器是 HADOOP 机器(BIGDATA 集群) 我们看到最佳做法是增加价值65536 如下所述: https://datasayans.wordpress.com/2015/11/04/performance-kernel-tuning-for-hadoop-environment/ 背景: 内核参数“netdev_max_backlog”是接收队列的最大大小。接收的帧将从...
我在 Chromebook 上的自定义 Chromium OS (cros) 内核上运行 Debian。Cros 内核默认禁用基于磁盘的交换文件(因为它更喜欢zram),要启用它,必须将sysctl变量vm.disk_based_swap设置为 1,否则挂载交换文件将失败。但是,在 /etc/sysctl.d 中添加vm.disk_based_swap=1文件.conf似乎只有大约一半的时间有效;其余时间交换挂载失败,即使可以验证启动后vm.disk_based_swap设置为 1,我猜想在这些情况下内核启动参数应用得不够快。基于这种特定场景,一般问题是如何...
我有两个不同的 debian 10 安装,均具有 4core/8GB-RAM(分别命名为 A 和 B)。 但的值/proc/sys/kernel/threads-max却有很大不同:A=63388 和 B=7055。 线程数最大值应为总和virtual memory / stack size[1]。两个安装中的堆栈大小和虚拟内存值相同(ulimit -s=8192,ulimit -v=unlimited),两个系统上的交换都已关闭。另外,两个虚拟机中的其他 sysctl 相关配置也类似。 那么,是什么原因造成threads-max两个系统之间的差异呢? PS...
IDE(例如 PyCharm)在fs.inotify.max_user_watches设置为高级别时工作得更好。如何在 GUIX 中做到这一点? 我记得几个月前 Draketo 的方法还有效:https://www.draketo.de/software/guix-config.html (service sysctl-service-type (sysctl-configuration (settings '(("fs.file-max" ....
我正在运行 Ubuntu,并且想在给定时间内只允许 100 个等待的 SYN 连接,并丢弃其余的连接。 我该如何配置iptables才能实现这个规则? 或者sysctl配置只允许 100 个,并删除其他 ...
当受到 SYN 洪水攻击时,我的 CPU 很快就被名为 的内核进程占用到了 100% ksoftirqd,我尝试了很多缓解措施,但都无法解决问题。 这是我的 sysctl 配置返回的sysctl -p: net.ipv4.tcp_syncookies = 1 net.ipv4.ip_forward = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv...
我正在运行安装了 HWE 堆栈的 Ubuntu 18.04 (Bionic)。这意味着我运行的是 5.3 Linux 内核。 在旧版本的内核中,显然elevator=noop当 GRUB 启动 Linux 内核时会导致 IO 调度无操作。一旦安装了 5.3 版内核,通过此机制就不再可能出现这种情况。 所讨论的机器是虚拟机,因此在客户机中进行 IO 调度实际上没有意义。 我可以通过直接更改命令行来检查和调整调度程序。 $cat /sys/block/vda/queue/scheduler [mq-deadline] none $echo none > /...
我在一个amazon linux ec2实例上需要增加文件限制(以运行spark)。 我记得有一种方法可以做类似的事情 ulimit -n 8192 但那不是“服用”ulimit -a仍然表明: open files (-n) 1024 sudo su - root尝试了以下方法: sysctl -w fs.file-max=16335 fs.file-max = 16335 因此它似乎有效..除了..: open files (-n) 1024...
我正在尝试启用Docker 上的用户命名空间。这当然需要在内核中启用用户命名空间。 在 RHEL/CentOS 中启用用户命名空间的步骤之一是: echo "user.max_user_namespaces=15000" >> /etc/sysctl.conf 因为默认情况下 max_user_namespaces 为 0。此后,您必须重新启动或执行sysctl -p以加载 sysctl.conf 中的 sysctl 设置。加载设置后,/proc/sys/user/max_user_namespaces应包含 15000。这在 RHEL ...
我用strongswan-swanctl在运行的VPN服务器上NixOS。 基本上它可以正常工作,我可以从客户端连接到 VPN 服务器。 services.strongswan-swanctl = { enable = true; swanctl = { ...
我有一台 Ubiquiti 路由器,其上的 ipv6 似乎运行良好。 的输出radvdump以及其他各种相关数据如下。我的问题在于路由器后面的 ubuntu 16.04 机器上的 ipv6。 在 WAN 端将路由器设置为 DHCP 客户端,在 LAN 端将前缀委派/{无状态,有状态} DHCP 服务器设置为客户端上仅有的链路本地地址。在 WAN 端将路由器设置为 {DHCP 客户端,SLAAC},在 LAN 端设置静态地址,在客户端设置 {无状态,有状态} DHCP 服务器,这样可以为我在客户端提供 ipv6 地址,但没有连接。 我理解我可能需要...