update sysctl.conf

parent c578cf19
......@@ -2,18 +2,19 @@
# /etc/sysctl.conf
#
# Zobacz także:
# http://manpages.ubuntu.com/manpages/bionic/pl/man5/proc.5.html
# http://manpages.ubuntu.com/manpages/bionic/pl/man7/ip.7.html
# http://manpages.ubuntu.com/manpages/bionic/pl/man7/arp.7.html
# http://manpages.ubuntu.com/manpages/bionic/en/man7/tcp.7.html
# https://www.kernel.org/doc/html/latest/admin-guide/kernel-parameters.html
# https://manpages.ubuntu.com/manpages/focal/pl/man5/proc.5.html
# https://manpages.ubuntu.com/manpages/focal/pl/man7/ip.7.html
# https://manpages.ubuntu.com/manpages/focal/pl/man7/arp.7.html
# https://manpages.ubuntu.com/manpages/focal/en/man7/tcp.7.html
# https://tools.ietf.org/html/rfc5827
# https://tools.ietf.org/html/rfc2001
# https://tools.ietf.org/html/rfc2018
#
# Autor: Morfik (morfikov[at]gmail[dot]com)
# Ostatnia aktualizacja: 2020.05.11
# Ostatnia aktualizacja: 2020.05.31
#
# Postęp: 374/707 (52.89%) [kernel 5.6.12]
# Postęp: 377/712 (52.95%) [kernel 5.6.14]
# egrep -E '^\#[a-z]' /etc/sysctl.conf | wc -l
# egrep -v ^# /etc/sysctl.conf | egrep -v ^$ | wc -l
# sysctl -a | egrep -v "\.usb0.|\.eth0\.|\.wlan0\.|\.bond0\.|\.ifb0\.|\.ifb1\.|\.wwan0\.|\.lo\.|\.br\-" | wc -l
......@@ -75,7 +76,7 @@ kernel.dmesg_restrict = 1
# Domyślnie: "0".
# -- https://lwn.net/Articles/415603/
# -- https://lwn.net/Articles/420403/
kernel.kptr_restrict = 1
kernel.kptr_restrict = 2
# Zrzut pamięci (coredump) jest to skopiowanie pamięci roboczej jakiejś aplikacji na bardziej
# wiarygodne medium (dysk twardy), w chwili gdy dochodzi do jakiegoś zdarzenia, np. poważnego błędu
......@@ -589,7 +590,7 @@ kernel.printk_ratelimit = 1
# /dev/random zostanie uśpiony do momentu aż "entropy_avail" pokaże wartość ustawioną w tym
# parametrze.
# Domyślnie: "64"
kernel.random.read_wakeup_threshold = 128
# kernel.random.read_wakeup_threshold = 128 (usunięty https://lore.kernel.org/patchwork/patch/1171569/)
#
# Próg, powyżej którego urządzenie /dev/random zostanie odcięte od dokarmiania nowymi porcjami
# entropii.
......@@ -646,8 +647,11 @@ kernel.random.write_wakeup_threshold = 2048
# uzyskuje dostęp do pamięci, do której powinien, itp) zanim go wykona. Niemniej jednak, w tym
# całym mechanizmie weryfikacji mogą występować błędy i niezaufane programy mogą prowadzić do
# kompromitacji bezpieczeństwa kernela. Dlatego też zaleca się by ten podrasowany BPF wyłączyć.
# Warto zaznaczyć, że po ustawieniu wartości "1" potrzebny będzie restart systemu, by znów móc
# tutaj ustawić "0".
# Domyślnie: "0"
# -- https://www.decadent.org.uk/ben/blog/bpf-security-issues-in-debian.html
# -- https://lwn.net/Articles/660331/
kernel.unprivileged_bpf_disabled = 1
# Debian ze względów bezpieczeństwa domyślnie ma wyłączone nieuprzywilejowane przestrzenie nazw
......@@ -661,6 +665,8 @@ kernel.unprivileged_bpf_disabled = 1
# problemy z działaniem niektórych przeglądarek, np. Google-Chrome, Opera czy też Chromium. Firefox
# także korzysta z tego mechanizmu przestrzeni nazw ale zdaje się on działać poprawnie, gdy wartość
# tego poniższego parametru jest ustawiona na "0".
# Domyślnie = "0"
# -- https://lwn.net/Articles/673597
kernel.unprivileged_userns_clone = 1
#
# Poniższe parametry określają limity dla różnych typów przestrzeni nazw, które może stworzyć
......@@ -694,7 +700,8 @@ kernel.unprivileged_userns_clone = 1
#
# Domyślnie: "2"
# -- https://lwn.net/Articles/696216/
kernel.perf_event_paranoid=3
# -- https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=da97e18458fb42d7c00fac5fd1c56a3896ec666e
kernel.perf_event_paranoid = 3
# STACKLEAK ogranicza informacje, które mogą zostać ujawnione przez bugi kernela związane ze stosem.
# Jest on także w stanie zablokować pewne ataki z wykorzystaniem niezainicjowanych zmiennych stosu
......@@ -853,7 +860,7 @@ vm.swappiness = 10
# upominał o pamięć, którą zajmują i-nody i dentry w przypadku sporego obciążenia maszyny.
# Zwiększenie wartości >100 może odbić się negatywnie na wydajności maszyny.
# Domyślnie: "100"
#vm.vfs_cache_pressure = 90
vm.vfs_cache_pressure = 50
# NUMA
# -- https://engineering.linkedin.com/performance/optimizing-linux-memory-management-low-latency-high-throughput-databases
......@@ -1176,12 +1183,12 @@ vm.user_reserve_kbytes = 131072
# przypadku aplikacji wymagających większych alokacji pamięci.
# Domyślnie: "28"
# -- https://lwn.net/Articles/667790/
#vm.mmap_rnd_bits = 29
vm.mmap_rnd_bits = 32
#
# Poniższy parametr jest podobny do tego powyżej z tą różnicą, że odnosi się do procesów
# uruchomionych w trybie kompatybilności, np. procesy 32-bitowe działające na kernelu 64-bitowym.
# Domyślnie: "8"
#vm.mmap_rnd_compat_bits = 14
#vm.mmap_rnd_compat_bits = 16
# Część procesorów posiada wsparcie dla MCA Recovery (Machine Check Architecture Recovery), przez
# co jest w stanie poradzić sobie z pewnymi błędami pamięci. Wymagane jest jednak od systemu
......@@ -1567,8 +1574,25 @@ net.ipv6.conf.default.accept_redirects = 0
# przekierowania ICMP tylko dla domyślnych bramek wymienionych w tablicy routingu. Można je
# podejrzeć przez "ip route show".
# Domyślnie: "1"
#net.ipv4.conf.all.secure_redirects = 1
#net.ipv4.conf.default.secure_redirects = 1
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
#
# Dwa dowolne systemy, które są podłączone do tego samego wspólnego medium sieci (shared media), są
# w stanie komunikować się bezpośrednio przez warstwę łącza danych, bez realizacji zadań obsługi
# poziomu IP. Poinformowanie hostów o takiej sytuacji, czyli komunikacji za pośrednictwem łącza
# danych, a nie za pośrednictwem warstwy wyżej, możliwe jest przez router za sprawą pakietu ICMP
# Redirect lub jego rozszerzenia o warstwę łącza danych ICMP XRedirect. Po przesłaniu takiej
# informacji dwa hosty we wspólnym medium komunikują się bezpośrednio bez wykorzystywania routera
# oraz analizy warstwy sieci.
#
# Jeśli poniży parametr zostanie ustawiony na "1" , to kernel zakłada, że różne podsieci na tym
# urządzenie mogą komunikować się bezpośrednio ze sobą. Sprawia to, że router będzie w stanie
# wysyłać (a host odbierać) przekierowania ICMP Redirect zgodne z RFC1620. Warto dodać, że jeśli
# ten parametr zostanie ustawiony na "0" , to "secure_redirects" również zostanie ustawiony na "0".
# Domyślnie: "1"
# -- https://tools.ietf.org/html/rfc1620
net.ipv4.conf.all.shared_media = 0
net.ipv4.conf.default.shared_media = 0
#
# Poniższy parametr wyłącza ("1") przesyłanie pakietów ICMP redirect (typ 5). Mechanizm ICMP
# Redirect polega na przesyłaniu informacji o routingu przez routery do hostów docelowych.
......@@ -2615,6 +2639,7 @@ net.ipv4.tcp_rfc1337 = 1
# nasycenie łącza pakietami ACK i powinien zostać wyłączony.
# Domyślnie: "1"
# -- http://packetlife.net/blog/2010/jun/17/tcp-selective-acknowledgments-sack/
# -- https://lwn.net/Articles/791409/
#net.ipv4.tcp_sack = 1
#
# Zwykły mechanizm SACK nie jest w stanie określić co się dzieje, gdy odbiorca otrzymuje zdublowane
......@@ -2982,6 +3007,26 @@ net.ipv6.conf.default.keep_addr_on_down = 0
# -- http://man7.org/linux/man-pages/man8/ip-tcp_metrics.8.html
#net.ipv4.tcp_no_metrics_save = 0
# Ten poniższy parametr ma za zadanie umożliwić wyłączenie kompilatora BPF JIT w kernelu. Przy
# próbie przestawienia jego wartości na "0" zwracany jest poniższy błąd:
# sysctl: setting key "net.core.bpf_jit_enable": Invalid argument
#
# Nie da rady zatem tego kompilatora wyłączyć, a to za sprawą włączonej opcji kernela
# CONFIG_BPF_JIT_ALWAYS_ON. Ta opcja ma na celu włączenie kompilatora BPF JIT na stałe i usunięcie
# interpretera BPF, by uniknąć spekulatywnego wykonywania (speculative execution) instrukcji BPF
# przez ten interpreter.
# Domyślnie: "1"
# -- https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=290af86629b25ffd1ed6232c4e9107da031705cb
#net.core.bpf_jit_enable = 1
#
# Poniższy parametr aktywuje hardening kompilatora BPF JIT. Wspierane są bakendy eBPF oraz JIT.
# Można tutaj ustawić wartość "0" , czyli całkowicie wyłączyć hardening. Można także ustawić "1" i
# w takim przypadku hardening zostanie włączony jedynie dla nieuprzywilejowanych użytkowników. No i
# też można ustawić "2" , co spowoduje, że hardening zostanie włączony dla wszystkich użytkowników
# bez wyjątku. Trzeba też liczyć się z faktem, że włączenie hardeningu wiązać się będzie z dość
# znaczną utrata wydajności w systemach, które z tego kompilatora korzystają (zwykle serwery).
# Domyślnie: "0"
net.core.bpf_jit_harden = 2
####################################################################################################
# TPE KERNEL MODULE #
......
Markdown is supported
0%
or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment