Вопросы Теги

Как постоянно отключить SYN-cookie?

Проверьте, включен ли IP fowarding на сервере с командой

sysctl net.ipv4.ip_forward

если это дает 0, сделать

sysctl -w net.ipv4.ip_forward=1

как базируются на сервере. Если это помогает, делайте изменение постоянным путем редактирования/etc/sysctl.conf

3
03.10.2019, 12:35
3 ответа

В /etc/sysconfig/selinux Вы хотите иметь SELINUX=disabled и перезагрузка.

Источник: http://www.centos.org/docs/5/html/5.2/Deployment_Guide/sec-sel-enable-disable.html

4
27.01.2020, 21:15
  • 1
    Вы правы, существует также /etc/sysconfig/selinux но оба /etc/selinux/config и /etc/sysconfig/selinux установлены как SELINUX=disabled и несмотря на это cat /proc/sys/net/ipv4/tcp_syncookies все еще говорит 1 после перезагрузки. –   28.01.2012, 22:11
  • 2
    Просто найденный решением. Никакая потребность отключить selinux, только отредактировать /etc/sysctl.conf где это говорит net.ipv4.tcp_syncookies = 1 кому: net.ipv4.tcp_syncookies = 0 –   28.01.2012, 22:29
  • 3
    @Zilo Вы могли отправить это как ответ для потомства? –  Kyle Jones 31.01.2012, 08:10

В то время как я сохранил бы SELinux на и выработал бы политику для разрешения то независимо от того, что повреждает сервер, можно всегда пробовать это для отключения SELinux.

$: sudo echo 0 > /selinux/enforce
1
27.01.2020, 21:15
  • 1
    Эта команда перестала работать для меня - я должен был выполнить ее полностью в подоболочке, таким образом, 'корень' на самом деле "писал файл", то есть:>> $ sudo отзываются эхом 0>/selinux/enforce> - удар:/selinux/enforce: Разрешение отклонило>, $ sudo колотят-c 'эхо 0>/selinux/enforce'> $ –  rich p 20.10.2015, 05:12
  • 2
    , Это работало лучше: $ sudo bash -c 'echo 0 > /selinux/enforce' –  rich p 20.10.2015, 05:18

Механизм защиты Syn -Flood, включенный по умолчанию (ср./proc/sys/net/ipv4/tcp_syncookies)не имеет ничего общего с SELinux.

IOW, защита от переполнения syn -включена независимо от того, включен ли SELinux.

См. также документацию ядра поtcp_syncookies:

tcp_syncookies - BOOLEAN Only valid when the kernel was compiled with CONFIG_SYN_COOKIES Send out syncookies when the syn backlog queue of a socket overflows. This is to prevent against the common 'SYN flood attack' Default: 1

Note, that syncookies is fallback facility. It MUST NOT be used to help highly loaded servers to stand against legal connection rate. If you see SYN flood warnings in your logs, but investigation shows that they occur because of overload with legal connections, you should tune another parameters until this warning disappear. See: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow.

syncookies seriously violate TCP protocol, do not allow to use TCP extensions, can result in serious degradation of some services (f.e. SMTP relaying), visible not by you, but your clients and relays, contacting you. While you see SYN flood warnings in logs not being really flooded, your server is seriously misconfigured.

(упор минный)

Вы можете навсегда изменить такие настройки, перетащив файл в /etc/sysctl.d, например.:

# echo 'net.ipv4.tcp_syncookies=0' > /etc/sysctl.d/23-network

Эти файлы применяются во время следующей перезагрузки или вызова sysctl --system.

1
27.01.2020, 21:15

Теги

Похожие вопросы