ipv4

Firewalld概述 动态防火墙管理工具 定义区域与接口安全等级 运行时和永久配置项分离 两层结构 核心层 处理配置和后端，如iptables、ip6tables、ebtables、ipset和模块加载器 顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具 原理图 Firewalld与iptables对比 firewalld 是 iptables 的前端控制器 iptables 静态防火墙 任一策略变更需要reload所有策略，丢失现有链接 firewalld 动态防火墙 任一策略变更不需要reload所有策略 将变更部分保存到iptables,不丢失现有链接 firewalld 提供一个daemon和service 底层使用iptables 基于内核的Netfilter 配置方式 firewall-config 图形界面 firewall-cmd 命令行工具 直接修改配置文件 /lib/firewalld 用于默认和备用配置 /etc/firewalld 用于用户创建和自定义配置文件 覆盖默认配置 /etc/firewalld/firewall.conf 全局配置 运行时配置和永久配置 firewall-cmd –zone=public –add-service=smtp 运行时配置，重启后失效 firewall-cmd

Linux性能优化 一、 Linux系统优化-调大TCP最大连接数 linux 作为服务器，当 socket 运行高并发 TCP 程序时，通常会出现连接建立到一定个数后不能再建立连接的情况生产环境下，多次测试，发现每次连接建立到1000左右时，再也不能建立 tcp 连接，为什么呢？这是因为在 Linux 平台上，无论编写客户端程序还是服务端程序，在进行高并发 TCP 连接处理时，最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个 TCP 连接都要创建一个 socket 句柄，每个 socket 句柄同时也是一个文件句柄)。为了调大 TCP 最大连接数，必须修改用户进程可打开文件数限制。 1）查看系统允许当前用户进程打开的文件数限制 ulimit - n 这表示当前用户的每个进程最多允许同时打开1024个文件，默认也是1024 2） 修改 /etc/security/limits.conf 文件，在文件 最后 添加如下内容： 修改 vim / etc / security / limits . conf 添加 root soft nofile 65535 root hard nofile 65535 * soft nofile 65535 * hard nofile 65535 注1 ： 第1个参数 指定修改 root 用户的打开文件数限制，可用’*

在/etc/sysctl.conf中加入 fs.file-max = 65535 net.ipv4.ip_forward = 1 net.ipv4.tcp_fin_timeout = 30 如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接，甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒，你可以按这个设置，但要记住的是，即使你的机器是一个轻载的WEB服务器，也有因为大量的死套接字而内存溢出的风险，FIN- WAIT-2的危险性比FIN-WAIT-1要小，因为它最多只能吃掉1.5K内存，但是它们的生存期长些。 net.ipv4.tcp_max_syn_backlog = 10240 表示SYN队列的长度，默认为1024，加大队列长度为10240，可以容纳更多等待连接的网络连接数。 net.ipv4.tcp_keepalive_time = 1200 表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为20分钟。 net.ipv4.tcp_synack_retries = 3 为了打开对端的连接，内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量 net.ipv4.tcp

转自: https://www.cnblogs.com/caoyusongnet/p/9087633.html 一. 端口号 标准的端口号由 Internet 号码分配机构(IANA)分配。这组数字被划分为特定范围，包括 熟知端口号(0 - 1023)、注册端口号(1024 - 49151)和动态/私有端口号(49152 - 65535)。 如果我们测试这些标准服务和其他 TCP/IP 服务(Telnet、 FTP、 SMTP等) 使用的端口号，会发现它们大多数是奇数。这是有历史原困的，这些端口号从 NCP 端口号派生而来(NCP 是网络控制协议，在 TCP 之前作为 ARPANET 的传输层协议)。NCP 虽然简单，但不是全双工的，困此每个应用需要两个连接，并为每个应用保留奇偶成对的端口号。当 TCP 和 UDP 成为标准的传输层协议时，每个应用只需要一个端口号，因此来自 NCP 的奇数端口号被使用。 二. TCP 初始序列号 在 TCP 数据报中，有一个 序列号 (Sequence Number)。如果序列号被人猜出来，就会展现出 TCP 的脆弱性。 如果选择合适的序列号、IP地址以及端口号，那么任何人都能伪造出一个 TCP 报文段，从而 打断 TCP 的正常连接[RFC5961]。一种抵御上述行为的方法是使初始序列号(或者临时端口 号[RFC6056])变得相对难以被猜出

CentOS8网络管理和之前的方法变化较大，没有了传统的network.service（默认被废弃了，可以自行安装），一般使用 NetworkManager （简称 NM ）命令集。对于红帽系列下一个大版本的系统将只支持 NetworkManager ，所以建议掌握。 NetworkManager 比较重要的一个命令是： nmcli 。 1. nmcli 的理解 nmcli 有两个比较重要的概念： nmcli connection 和 nmcli device 。 nmcli connection ，表示连接，可以理解为配置文件，可以简写为： nmcli c ，它有两种状态：活动的和非活动的。 nmcli device 表示设备，可以理解为我们的网卡，网卡需要被 NM 纳管，然后才可以为设备配置一个或多个连接，同一个时刻，一个设备只能有一个连接与之对应。 1.1 nmcli connection 查看所有连接列表 nmcli c # 或者 nmcli connection # 或者 nmcli connection show # 或者 nmcli c show 结果有四项，分别是：连接名称(连接标识)，连接的UUID，连接类型，设备名称（网卡名） 1.2 查看所有设备列表 nmcli device nmcli d 结果有四项，分别是：设备名称（网卡名），连接类型，连接状态，连接名称

LVS+DR模式+keepalived 上一篇博客我们说了三种模式，NAT,TUN,DR这次是DR+Keepalived 先了解什么是Keepalived keepalived采用VRRP热备份协议实现Linux服务器的多机热备功能 VRRP,虚拟路由冗杂协议，是针对路由器的一种备份解决方案 keepalived可以实现多机热备，每个热备组可有多台服务器，最常用的就是双机热备 双击热备的故障切换是由虚拟IP地址的飘逸来实现，适用于各种应用服务器 LVS-DR的ARP问题 在LVS-DR的负载均衡群集中，负载均衡器与节点服务器都要配置相同的VIP地址 在局域网中具有相同的IP地址，势必会造成服务器APR通信的紊乱 当一个ARP广播发送到LVS-DR集群时，因为负载均衡器和节点服务器都是连接到相同的网络上，它们都会接收到ARP广播 此时只有前端的负载均衡器进行响应。其他节点服务器不应该响应ARP广播 LVS-DR的ARP问题解决方案 对节点服务器进行处理，使其不响应针对VIP的ARP请求 使用虚接口lo:0承载VIP地址 设置内核参数arp_ignore=1:系统只响应目的IP为本地IP的ARP请求 下面我们来做实验 实验规划 我们需要五台虚拟机 DR1 主服务器 192.168.100.201 DR4 备份服务器 192.168.100.202 web 5 192.168.100

CentOS系统的优化 优化之前，首先查看版本信息 # cat /etc/redhat-release CentOS release 6.7 (Final) # 系统版本信息 # uname –r 2.6.32-573.el6.x86_64 # 内核版本信息 # uname -m x86_64 #表示为64位系统 # uname –a # 显示全部信息 Linux hostname2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux Linux基础优化与安全重点小结 1 不用root登录管理系统，而以普通用户登录通过sudo授权管理 2 更改默认的远程连接SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP 3 定时自动更新服务器时间，使其和互联网同步 4 配置yum更新源，从国内更新源下载安装软件包 5 关闭SELinux及iptables 6 定时自动清理邮件临时目录垃圾文件，防止磁盘inodes数被小文件占满 7 调整文件描述符的数量，进程及文件的打开都会消耗文件描述符的数量 8 精简并保留必要的开机启动服务 9 Linux内核参数优化/etc/sysctl.config,执行sysetl –p生效 10 更改系统字符集, 为

CentOS Linux在公司服务器上广泛被使用，本文总结了一些常见的加固方法。 基本原则： 最小的权限+最小的服务=最大的安全 操作之前先备份； 为避免配置错误无法登录主机，请始终保持有一个终端已用root登录并不退出，在另一个终端中做配置修改。这样即使改错，也不至于因系统无法登录导致永远无法登录或恢复配置。 操作项： 一、注释掉系统不需要的用户和用户组 注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。 cp /etc/passwd /etc/passwdbak #修改之前先备份 vi /etc/passwd #编辑用户，在前面加上#注释掉此行 #adm:x:3:4: adm:/var/adm:/sbin/nologin #lp:x:4:7: lp:/var/spool/lpd:/sbin/nologin #sync:x:5:0: sync:/sbin:/bin/sync #shutdown:x:6:0: shutdown:/sbin:/sbin/shutdown #halt:x:7:0: halt:/sbin:/sbin/halt #uucp:x:10:14: uucp:/var/spool/uucp:/sbin/nologin #operator:x:11: 0perator:/root:/sbin/nologin #games:x:12:100: games