CentOS5 カーネルパラメータの設定 - itochif.com

CentOS5にはカーネルを再構築せずに設定できるカーネルパラメータがあります。ここでは外部からの攻撃による被害をより少なくする設定を行います。

GNOME端末を起動します。GNOME端末の起動は画面左上のメニュー[アプリケーション]->[アクセサリ]->[GNOME端末]を選択します。

カーネルパラメータの設定はsysctlコマンドを使用するか、/proc/sys以下のファイルを編集する事で行えますが、/etc/sysctl.confファイルに設定を記載しなければシステムの再起動後にデフォルト値に戻ってしまいます。ここでは、システムの再起動後もカーネルパラメータの設定が変更された状態とするため、/etc/sysctl.confファイルに設定を記述します。
図1では青色の文字が、元のsysctl.confファイルから追記した部分です。

# vi /etc/sysctl.conf
------------------------------ 次の行からsysctl.confファイルの中身
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Controls IP packet forwarding
net.ipv4.ip_forward = 0

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

# Controls the maximum size of a message, in bytes
kernel.msgmnb = 65536

# Controls the default maxmimum size of a mesage queue
kernel.msgmax = 65536

# Controls the maximum shared segment size, in bytes
kernel.shmmax = 4294967295

# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 268435456

# システムの連続稼働時間が知られるのを防ぐ
net.ipv4.tcp_timestamps = 0

# ブロードキャストアドレス宛pingを無視する
net.ipv4.icmp_echo_ignore_broadcasts = 1

# ネットワーク上のホストが不正に反応したICMP errorメッセージを無視する
icmp_ignore_bogus_error_responses = 1

# ICMP Redirectパケットを受け入れない
net.ipv4.conf.default.accept_redirects = 0

# ゲートウェイからのICMP Redirectパケットも受け入れない
net.ipv4.conf.default.secure_redirects = 0

# Exec-Shieldを明示的に無効にしたプログラム以外には有効にする
kernel.exec-shield = 2
------------------------------ sysctl.confファイル終了

# /sbin/sysctl -p #sysctl.confの設定を反映する