0541. [LINUX] (sysctl) /proc/sys 주요항목 설명

1./proc/sys/net/ipv4/icmp_echo_ignore_all

: ping 에 의한 응답을 하지 않게 할 수 있다

 

2./proc/net/ipv4/tcp_syncookies

: SYN Flooding 공격을 막을 때 유용한 항목으로 SYN패킷의 도착빈도가 일정한 횟수부다 많을때 해당 요청을 허용하지 않을때 사용한다

 

3./proc/sys/net/ipv4/tcp_max_syn_backlog

: TCP 프로토콜에서 한 소켓이 동시에 SYN요청을 처리하기에는 한계가 있는데 이 한계가 백로그backlog 이다. 

백로그는 연결 요청이 아직 완전히 처리 되지 아니한 대기상태에 있는 큐의 길이이다. 

이 백로그 큐가 꽉차게 되면 이후 들어오는 SYN요청은 무시되며 이러한 공격이 SYN Flooding공격이다. 

그러나, 백로그를 무조건 늘리는 것이 꼭 좋은것 만은 아니다. 

또한 1024 이상으로 설정하려면 커널소스를 수정해야 한다 (CentOS 5.8 Final / 6.6 Final 소스수정 필요없음)

  2048 ◀ ftee -g 확인시  3G

131070 ◀ free -g 확인시 15G

 

4./proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

:브로드케스트 주소에 ping 을 쏘는 것을 막는다. 

smurf 공격을 막을수 있다. 

이 공격을 막기위해서는 값을 1로 한다

 

Smurf 공격 : Dos 공격의 한 방법으로 공격자가 source ip address 를 target 으로 위장하여 네트워크로 ICMP echo request 를 보내어 target 이 정상적으로 서비스를 할 수 없도록 만드는 기법

 

5./proc/sys/net/ipv4/conf/all/accept_source_route

: 라우팅과 라우팅 프로토콜은 몇가지 문제점을 생성해 내는데 

목적지의 경로에 대한 세부적인 내용을 담고 있는 ip 소스 라우팅은 

목적지 호스트에서도 같은 경로를 따라 반응을 해야 한다는 문제점이 있다. 

크래커가 특정 네트워크에 소스 라우팅 패킷을 보낼수 있다면 

돌아오는 반응을 가로채서 상대방의 호스트와 신뢰받은 호스트처럼 속일수 있게된다. 

이 기능을 사용하지 못하게 값을 0으로 한다.

 

6./proc/sys/net/ipv4/conf/all/rp_filter

: IPv4는 인증 매카니즘을 가지고 있지 않기 때문에 source ip address 를 조작할 수 있다. 

rp_filter 는 패킷이 들어오는 인터페이스와 나가는 인터페이스가 같은 지를 검사한다. 

값을 1로 하면 된다.

 

7./proc/sys/net/ipv4/conf/all/log_martians

: 이 파일은 스푸핑 패킷과 redirect 된 패킷의 기록을 남길지 여부를 지정하는 파일이다.

기본값은 0 으로 기록을 남기지 않는다. 

값을 1로 하면 패킷을 기록한다

 

8./proc/sys/net/ipv4/tcp_fin_timeout

: TCP 세션 종료후에 얼마나 세션연결을 유지하고 있을지를 초 단위로 값으로 설정되어 있다. 

기본값은 60초이다. 

telnet 이나 ftp 등을 이용하여 서버에 접속하다가 예기치 못한 상태에서 연결이 종료되는 경우가 있다. 

이런 경우에 TCP 세션의 연결 상태 지속여부를 결정하는 값이다. 

10-20초 정도로 설정하면 무난하다.

 

9./proc/sys/net/ipv4/tcp_keepalive_time

: TCP 연결상태를 계속 유지시키기 위한 시간 설정이다. 

기본 초단위로 7200초 즉 2시간이 기본값이다. 

20-30분 정도로 설정하는 것도 서버의 자원을 효율적으로 이용한다는 측면에서 매우 유익하다

 

10./proc/sys/net/ipv4/ip_fin_timeout

: 인터넷 공유나 ip 마스커레이드 등 하나의 서버에서 ip 를 공유하여 포워딩을 가능하게 할 것인지 여부를 지정하는 파일이다. 

기본값은 0 포워딩이 불가능이다. 

가능은 1로 한다

 

11./proc/sys/net/ipv4/ip_local_port_range

: 서버내의 TCP 와 UDP 에서 사용 할 수 있는 포트범위의 값을 지정하고 있는 파일이다

 

12./proc/sys/net/ipv4/tcp_timestamps

: 외부에서 서버의 날짜정보를 확인가능하게 할 것인지를 지정하고 있는 파일이다. 

기본값 1 외부에서 날짜정보확인이 가능하다. 

0 으로 하면 불가능

 

13./proc/sys/net/ipv4/conf/all/accept_redirects

: redirect 관련 패킷을 허가할 것인지를 결정하는 파일로 기본값은 1 허가. 

ICMP redirect 패킷은 서버의 routing 경로를 확인하는 역할을 한다. 

이러한 패킷을 차단할 수 있다.

 

14./proc/sys/net/ipv4/conf/all/send_redirect

: 서버에서 나가는 ICMP redirect 패킷을 허가 할지 결정. 

기본값 1 허가. 

0 설정시 나가는것 막는다.

 

15./proc/sys/fs/file-max

: 커널에서 최대로 사용가능한 파일 수를 지정하는 파일이다.

 387096 ◀ ftee -g 확인시  3G

1560942 ◀ free -g 확인시 15G

 

16./proc/sys/fs/file-nr

: 커널에서 사용중인 파일 수등을 기록하고 있는 파일

 640     0       387096 ◀ ftee -g 확인시  3G

5100     0      1560942 ◀ free -g 확인시 15G