オペレーティングシステムはRHEL 6.2です。
SELinuxに問題があるようです。/etc/sysconfig/selinuxしかし、私のホストがコマンドを起動すると、そのコマンドを無効にしてsestatus許可モードになっていることを示します。
Stack Exchange で検索すると、次の U&L Q&A が表示されます。SELinuxを永久に無効にする方法は?。この質問は私と同様のシナリオに言及しています。
これにより、次のような質問が発生しました。
net.ipv4.tcp_syncookies=1(=0) とはどういう意味ですか?- 0に変更しても安全ですか?
メモ:私の元の質問はautomount / nfsに関連していました。
リモートファイルシステムがマウントまたはマウント解除されていない場合は、再起動が必要な場合がありますautofs。交通量の多い状況でこの問題が発生しているのか、それともnet.ipv4.tcp_syncookies上記の問題に関連しているのかはわかりません。
だから私はこれが私の問題net.ipv4.tcp_syncookiesに関連しているかどうかを判断できるように、よりよく理解しようとしています。autofs
答え1
net.ipv4.tcp_syncookies=1
システムへのSYNフラッド攻撃を防ぐのに役立ちます。値が 0 の場合は無効になります。セキュリティの観点からは、これをオンにするのが最善です。つまり、値を1に設定します。しかし、オフにするのは安全です。
答え2
調査するカーネル文書tcp_syncookies:
tcp_syncookies- BOOLEANカーネルがCONFIG_SYN_COOKIESでコンパイルされている場合にのみ有効です。ソケットの syn バックログキューがオーバーフローすると、syncookie を送信します。これは一般的な「SYNフラッド攻撃」を防ぐためです。 デフォルト:1
シンククッキーは代替機能であることに注意してください。合法的な接続速度に比べて負荷の高いサーバーをサポートするためには使用できません。ログに SYN Flood 警告が表示されますが、調査の結果、該当する警告が正当な接続の過負荷に起因することが示された場合、他のパラメータを調整する必要があります。警告が消えるまで。参照:tcp_max_syn_backlog、tcp_synack_retries、tcp_abort_on_overflow。
syncookies は TCP プロトコルに対する重大な違反であり、TCP 拡張の使用を許可しません。これにより、一部のサービス(SMTPリレーなど)が大幅に低下する可能性があり、ユーザーには見えませんが、クライアントとリレーはユーザーに連絡します。ログにSYN Flood警告が表示される場合本当に圧倒されなかった、お客様のサーバー 重大な構成エラー。
(強調は私のもの)
したがって、これはSELinuxとは無関係であり、NFS / autofsの問題とは無関係である可能性が高いです。