Linux ETC
/proc/sys/net/ipv4 활용 서버보안 -2-
2015.09.18 13:27
1. tcp keepalive time 설정
/proc/sys/net/ipv4/tcp_keepalive_time 파일에는 TCP 연결상태를 계속 유지하기위한 시간 설정을 할 수 있습니다.
[root@jhp_test ~]# cat /proc/sys/net/ipv4/tcp_keepalive_time
7200
기본값은 7200초로써 2시간 입니다. 가능하다면 20분~30분 정도로 설정하는 것이 서버의 자원낭비를 예방하는데에 도움이 됩니다. (20분 = 1200)
2. 서버에서 로컬 포트사용범위 설정
/proc/sys/net/ipv4/ip_port_range 파일에서는 서버내의 TCP와 UDP 에서 사용할 수 있는 포트 범위를 설정할 수 있습니다.
[root@jhp_test ~]# cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
기본값은 서버내에 장착된 실제메모리(RAM)의 용량에 따라서 결정됩니다.
3. IP 포워딩 기능 막기
IP 포워딩 기능이 설정되어있다면 다른 서버로의 패킷 재저농이 가능한 router 역할이 어느정도 가능하게 됩니다. 현재 서버가 Router 역할을 하는 서버가 아니라면 이 기능을 제거해야 합니다.
[root@jhp_test ~]# cat /proc/sys/net/ipv4/ip_forward
0
이 값을 0으로 설정함으로써 IP 포워딩 기능을 끌 수 있습니다. 즉 이 파일을 1로 설정하면 IP 포워딩 기능이 활성화됩니다. 특별한 경우가 아니라면 IP 포워딩 기능이 필요하지 않은 경우가 대부분이므로 염두해두시면 되겠습니다.
