1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43

-
|
!
-
!
-
!
-
!
 
-
!
 
-
!
 
-
!
-
!
 
-
!
 
-
!
 
 
-
!
-
!
-
!
-
!
 
-
!
 
-
!
 

# セキュリティ
# dmesg表示制限(rootは可能)
kernel.dmesg_restrict = 1
# カーネルアドレス表示制限(rootは可能)
kernel.kptr_restrict = 1
# ptrace利用制限(rootは可能)
kernel.yama.ptrace_scope = 2
# magic SysRq Key無効
kernel.sysrq = 0
 
# フォワード禁止 (必要ならばifを指定して1にする)
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.default.forwarding = 0
# ソース検証有効 (シンプルなルーティング構成でない場合は問題が起こるので0にする)
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# ICMPリダイレクト無効
net.ipv4.conf.all.accept_redirects = 0
# 無効なアドレスのパケットを記録
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# リダイレクト送信無効
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# SRRオプションを含むパケットを受信しない
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
 
# ブロードキャスト/マルチキャストのICMP echo/timestamp requestを無視
net.ipv4.icmp_echo_ignore_broadcasts = 1
# ボーガスエラーを無視
net.ipv4.icmp_ignore_bogus_error_responses = 1
# SYN cookies有効
net.ipv4.tcp_syncookies = 1
# TCPタイムスタンプ無効
net.ipv4.tcp_timestamps = 0
 
# ICMPリダイレクト無効
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# SRRオプションを含むパケットを受信しない
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18

-
|
!
-
!
-
!
 
 
-
!
 
 
-
!
 
-
!

# パフォーマンス
# FIN_WAIT_2の期間(秒)
net.ipv4.tcp_fin_timeout = 10
# バッファサイズ自動調整有効 (tcp_rmemを超えない範囲で自動調整)
net.ipv4.tcp_moderate_rcvbuf = 1
# 受信バッファサイズ (バイト, 優先順があるため分かりやすく同値にした方がよい, 搭載メモリにより調整が必要)
net.core.rmem_max = 8388608
net.core.rmem_default  =  212992
net.ipv4.tcp_rmem = 4096 212992 8388608
# 送信バッファサイズ (バイト, 優先順があるため分かりやすく同値にした方がよい, 搭載メモリにより調整が必要)
net.core.wmem_max = 8388608
net.core.wmem_default  =  212992
net.ipv4.tcp_wmem = 4096 212992 8388608
# バックログ長 (搭載メモリにより調整が必要)
net.core.somaxconn = 4096
net.ipv4.tcp_max_syn_backlog = 4096
# 利用可能エフェメラルポート範囲 (稼働しているサービスにより調整が必要)
net.ipv4.ip_local_port_range = 2048 65535

  1
  2
  3

-
|
!

# 運用
# カーネルパニック時に自動再起動するまでの時間(秒)
kernel.panic = 10

  1
  2
  3
  4
  5

-
!
 
-
!

# /etc/sysctl.confの反映
sysctl -p
 
# /etc/sysctl.d/以下の反映
sysctl --system