调整 sysctl 参数是 Linux 服务器基础安全加固的一环,主要用于关闭不必要的网络特性以减少攻击面,适合所有面向公网的服务器,但不要指望它能替代防火墙或 WAF。
先说结论:修改内核参数成本低且见效快,但部分参数可能影响正常业务流量,建议先在测试环境验证。
- 先判断:确认当前网络架构,特别是是否存在非对称路由场景。
- 优先做:关闭源路由、重定向接收等高风险特性,开启 SYN Cookies 防御 flood。
- 再验证:应用配置后务必测试业务连通性,确认无误再写入永久配置文件。
命令速用版
以下命令可临时生效,重启后失效,适合快速测试:
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1为什么会这样
Linux 内核默认为了兼容性和便利性,开启了一些可能带来安全风险的功能。例如,接受源路由包可能允许攻击者指定数据包路径,绕过安全检测;开启 ICMP 广播响应可能放大拒绝服务攻击效果。调整这些参数本质上是关闭不必要的“便利”,换取更严格的网络行为控制。
分步处理
1. 备份当前配置,防止改错无法恢复:
cp /etc/sysctl.conf /etc/sysctl.conf.bak2. 创建或编辑优化配置文件,建议放在 /etc/sysctl.d/ 目录下以便管理:
vim /etc/sysctl.d/99-security.conf3. 写入以下参数(根据实际需求取舍):
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.log_martians = 14. 加载配置使其生效:
sysctl -p /etc/sysctl.d/99-security.conf怎么验证是否生效
使用以下命令检查参数值是否为预期设置:
sysctl -a | grep net.ipv4.tcp_syncookies
sysctl -a | grep net.ipv4.conf.all.accept_source_route同时观察业务日志和网络连通性,确保没有误杀正常流量。对于 log_martians 参数,可以查看 dmesg 或 /var/log/messages 是否有相关日志输出。
常见坑
- rp_filter 参数谨慎开启:在负载均衡或复杂路由环境中,开启反向路径过滤(rp_filter=1)可能导致合法的非对称路由流量被丢弃,建议先设为 2(宽松模式)测试。
- 临时与永久生效混淆:sysctl -w 只改内存,重启失效;写入配置文件才永久生效。
- 远程操作风险:如果在远程 SSH 会话中修改网络相关参数,务必保持会话不断开,并准备好控制台访问权限,防止配置错误导致失联。