V informatice je jádro duší operačního systému. Linuxové jádro je navrženo s velmi dobrou architektonickou znalostí operačního systému. Linux má většinou tři typy jádra. Jsou to monolitické jádro, mikrokernel a hybridní jádro. Linux má jádro Monolithic. Monolitické jádro je vytvořeno pro vysoký výkon a stabilitu. MicroKernel vytváří flexibilitu a snadnou implementaci. Jádro má přístup k systémovým prostředkům. Zabezpečení a nastavení linuxového jádra můžete upravit a nakonfigurovat pomocí nástroje pro řízení systému. V Linuxu je řídicí jednotka systému krátce známá jako sysctl.
Jak funguje sysctl v Linuxu
Souborový systém Linux má velmi jedinečný a efektivní architektonický design, který lze interpretovat s jádrem systému. Konfigurace linuxového jádra jsou uloženy v /proc/sys
adresář. Řídicí jednotka centrálního systému nebo nástroj sysctl lze použít jako samostatný program nebo jako nástroj pro správu příkazů.
Systém sysctl lze použít k řízení pracovní funkce procesoru, paměti a karty síťového rozhraní. Navíc můžete svůj linuxový systém zvýšit zabezpečením přidáním vlastního přizpůsobeného konfiguračního skriptu a příkazů do programu sysctl. V tomto příspěvku uvidíme, jak zabezpečit sysctl v Linuxu.
1. Nakonfigurujte nastavení sysctl v Linuxu
Jak jsem již zmínil dříve, sysctl je nástroj jádra, takže je to předinstalovaný nástroj v Linuxu. Nemusíte jej znovu instalovat ani přepisovat. Můžete jen začít s příkazovými nástroji sysctl. Začněme tedy s nástrojem pro ovládání systému Linux. Chcete-li zkontrolovat aktuální stav systému sysctl, spusťte následující příkazový řádek terminálu.
$ sysctl --system
Nyní můžete provést akci a přidat požadované konfigurace do skriptu nastavení řízení systému. Konfigurační skript sysctl můžete otevřít pomocí textového editoru Nano a přidat svá osobní nastavení. Pomocí následujícího příkazu terminálu otevřete skript pomocí textového editoru Nano.
$ sudo nano /etc/sysctl.conf
Uvnitř konfiguračního skriptu sysctl najdete některá stávající výchozí nastavení. Můžete to nechat tak, jak je, nebo pokud chcete, aby byl váš systém Linux bezpečnější, můžete přidat nějaké další pravidlo a nahradit stávající konfigurace následujícími nastaveními uvedenými níže. Úpravou konfiguračního skriptu sysctl můžete zabránit útokům typu man-in-the-middle (MITM), ochraně před spoofem, povolit soubory cookie TCP/IP, předávání paketů a protokolovat marťanské pakety.
Pokud jste správce systému Linux nebo programátor, musíte vědět, že řádek kódu lze zachovat jako komentář přidáním hash (#) před řádek. Ve skriptu sysctl se přesměrování internetového protokolu, výchozí nastavení přesměrování a další nastavení uchovávají jako komentáře. Chcete-li tato nastavení povolit, musíte je označit jako nekomentované odstraněním symbolu hash (#) před řádkem.
2. Ovládejte zabezpečení sítě z nastavení sysctl
Níže je uvedeno několik primárních a nezbytných nastavení konfigurace zabezpečení sysctl, abyste je mohli použít na skript sysctl. Chcete-li povolit předávání IP (Internet Protocol), vyhledejte tuto syntaxi #net.ipv4.ip_forward=1
a nahraďte jej následujícím řádkem uvedeným níže.
net.ipv4.ip_forward=0
Aby byla vaše internetová připojení v Linuxu bezpečnější, můžete přesměrovat adresu IP (Internet Protocol) změnou hodnoty nastavení IPv4 ze skriptu sysctl. Najděte tuto syntaxi #net.ipv4.conf.all.send_redirects = 0
a nahraďte jej následujícím řádkem uvedeným níže.
net.ipv4.conf.all.send_redirects = 0
Chcete-li nyní nastavit přesměrování IP jako výchozí, přidejte za předchozí řádek následující řádek.
net.ipv4.conf.default.send_redirects = 0
Chcete-li ve správci sítě přijímat všechny přesměrované adresy IP, najděte tuto syntaxi #net.ipv4.conf.all.accept_redirects = 0
a nahraďte jej následujícím řádkem uvedeným níže.
net.ipv4.conf.all.accept_redirects = 0
Zde je několik dalších konfiguračních skriptů, které můžete přidat do nastavení sysctl, abyste ignorovali nesprávná hlášení o chybách, nastavili velikost souboru nevyřízených záležitostí a opravili chybu vypršení časového limitu TCP ve vašem systému Linux.
net.ipv4.conf.default.accept_redirects = 0 net.ipv4.icmp_ignore_bogus_error_responses = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 3 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
Po dokončení nastavení konfiguračního skriptu uložte a ukončete textový editor Nano. Nyní znovu načtěte nástroj sysctl a aktivujte změny.
$ sudo sysctl -p
Nyní můžete vidět všechna aktivní pravidla sysctl na vašem systému Linux.
$ sysctl --all
3. Zkontrolujte nastavení jádra
Pomocí následujících příkazů shellu sysctl můžete zobrazit informace o cd-rom, typ jádra, typ zavaděče jádra, název hostitele jádra a další informace o vašem zařízení se systémem Linux. Můžete také změnit název hostitele jádra vašeho systému Linux pomocí nástroje sysctl.
$ sysctl -a $ sysctl -a | grep kernel $ sysctl -a | more
Spusťte cat
Níže je uveden příkaz, který zobrazuje UUID spouštění jádra a stav systému SELinux (Security-Enhanced Linux).
$ cat /proc/cmdline
Typ operačního systému jádra můžete zkontrolovat pomocí příkazu sysctl z terminálu Linux.
$ sysctl kernel.ostype
Nakonec zkontrolujte konfiguraci linuxového jádra pomocí příkazu sysctl.
$ sysctl -a | grep kernel
4. Obnovte nastavení Linux sysctl
Protože existuje spousta možností, jak změnit výchozí hodnoty skriptu sysctl, aby byl váš Linux bezpečnější, existuje malá pravděpodobnost, že jste nesrovnali nastavení a rozdrtili váš systém.
Dokud je jádro Linuxu spuštěno, neuchová výchozí hodnoty, když uživatel root změní hodnoty. Pokud tedy nechcete poškodit váš systém, zkopírujte a vložte své výchozí hodnoty sysctl do poznámkového bloku, abyste mohli v případě nouze nahradit výchozí nastavení.
Zde je alternativní způsob, který můžete použít k obnovení nastavení sysctl na vašem zařízení se systémem Linux. Pokud používáte počítač Ubuntu, najděte jiný počítač Ubuntu a získejte z něj výchozí konfigurační skript řízení systému (sysctl). Poté skript zkopírujte a nahraďte do svého zařízení.
Nakonec Statistiky
Obecně lze nástroj sysclt použít ke konfiguraci nastavení a parametrů linuxového jádra, ale má širokou škálu použití. Tento nástroj lze použít k porovnání stability a adaptability mezi různými verzemi jádra. I když jsou k dispozici některé další nástroje a programy pro porovnání stability různých jader. Přesto velmi často nemusí vykazovat dokonalý výsledek tam, kde je sysctl velmi spolehlivým nástrojem pro měření a konfiguraci parametrů jádra.
V celém tomto příspěvku jsem ilustroval základní koncept linuxového jádra a ukázal, jak zabezpečit váš linuxový systém pomocí nástroje sysctl. Pokud považujete tento příspěvek za užitečný a informativní, sdílejte jej prosím se svými přáteli. Své cenné názory můžete zapsat do segmentu komentářů.