nsswitch.conf和sysctl.conf的硬化

Question

我在某个地方读到(我忘了在哪里)，如果我想增强我的linux，应该设置以下内容，在我的例子中，这是Ubuntu18.04。

然而，使用这些值在某种程度上导致了我的nginx 504网关超时，它被用作我的asp.net核心应用程序的反向代理。

我没有linux的背景，我所做的只是复制粘贴。所以，我不知道设置这些值意味着什么。

有什么不正确的价值(S)是我设定的错误吗？

/etc/nsswitch.conf

passwd:files
shadow:files
group:files
hosts:dns files
bootparams:files
ethers:files
netmasks:files
networks:files
protocols:files
rpc:files
services:files
automount:files
aliases:files

/etc/sysctl.conf

net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.ip_forward = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
kernel.sysrq=0

Answer 1

NSSWITCH.CONF

所有这些设置都是files，这意味着所有东西都存储在本地计算机上。

例：passwd:files --所有登录帐户都存储在/etc/passwd中。没有外部用户身份验证(在Windows上，这可能是AD)、LDAP、Kerberos等等。

如果这是您所期望的，那么这些设置是正确的。

他们可能不会引起你的网关问题。

sysctl.conf rp_filter设置最有可能导致您的问题。rp_filter的意思是反向路径过滤。1禁用rp_filtering的设置。

它被用作我的asp.net核心应用程序的反向代理。

将此值设置为0，然后重试。

0=允许所有

1=不允许所有

2=只允许我知道的网络(即防止“外部”网络，如互联网)。这可能不是所有操作系统都支持的。

什么是RP滤波？

本文展示了一些回显命令。这些是临时更改，直到您重新启动机器为止。这样，您就可以测试新的设置，而不必一直重新启动。一旦找到有效的设置，就可以将它们放入sysctl.conf中。

ip_forwarding也可能会给您带来问题。也尝试重置该值。

以下是关于sysctl.conf的一些信息

如果不使用ipv6，则可以保留这些设置。

记住，强化一个系统通常会破坏它。您需要调整使用计算机的设置。就像这里的情况一样，当这台计算机需要时，RP过滤已经被禁用了。