운영 체제는 RHEL 6.2입니다.
SELinux에 문제가 있는 것 같습니다. /etc/sysconfig/selinux그러나 내 호스트가 명령을 시작할 때 해당 명령을 비활성화하여 sestatus허용 모드에 있음을 나타냅니다.
Stack Exchange에서 검색하면 다음 U&L Q&A가 표시됩니다.SELinux를 영구적으로 비활성화하는 방법은 무엇입니까?. 이 질문은 나와 비슷한 시나리오를 언급합니다.
이로 인해 다음과 같은 질문이 생겼습니다.
net.ipv4.tcp_syncookies=1(=0)은 무슨 뜻인가요?- 0으로 변경해도 안전한가요?
노트:내 원래 질문은 automount/nfs와 관련이 있었습니다.
원격 파일 시스템이 마운트되거나 마운트 해제되지 않은 경우 재부팅해야 하는 경우가 있습니다 autofs. 교통량이 많은 상황에서 이런 문제가 발생하는지, 아니면 이 문제가 net.ipv4.tcp_syncookies위의 문제와 관련이 있는지는 알 수 없습니다.
그래서 나는 이것이 내 문제 net.ipv4.tcp_syncookies와 관련이 있는지 판단할 수 있도록 더 잘 이해하려고 노력하고 있습니다 .autofs
답변1
net.ipv4.tcp_syncookies=1
시스템에 대한 SYN 플러드 공격을 방지하는 데 도움이 됩니다. 값이 0이면 비활성화됩니다. 보안 관점에서는 이를 켜두는 것이 가장 좋습니다. 즉, 값을 1로 설정합니다. 그러나 끄는 것이 안전합니다.
답변2
조사하다커널 문서tcp_syncookies:
tcp_syncookies- BOOLEAN 커널이 CONFIG_SYN_COOKIES로 컴파일된 경우에만 유효합니다. 소켓의 syn 백로그 큐가 오버플로되면 syncookie를 보냅니다. 이는 일반적인 "SYN 플러드 공격"을 방지하기 위한 것입니다. 기본값: 1
싱크쿠키는 대체 기능이라는 점에 유의하세요. 합법적인 연결 속도에 비해 부하가 높은 서버를 지원하는 데는 사용할 수 없습니다. 로그에 SYN 플러드 경고가 표시되지만 조사 결과 해당 경고가 합법적인 연결의 과부하로 인해 발생한 것으로 나타나면,다른 매개변수를 조정해야 합니다.경고가 사라질 때까지. 참조: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow.
syncookies는 TCP 프로토콜에 대한 심각한 위반이며 TCP 확장 사용을 허용하지 않습니다. 이로 인해 일부 서비스(예: SMTP 릴레이)가 심각하게 저하될 수 있으며 사용자에게는 보이지 않지만 클라이언트와 릴레이에서는 사용자에게 연락합니다. 로그에 SYN 플러드 경고가 표시되는 경우정말 압도되지 않았어, 귀하의 서버 심각한 구성 오류.
(강조는 내 것)
따라서 이는 SELinux와는 아무런 관련이 없으며 NFS/autofs 문제와도 관련이 없을 가능성이 높습니다.