linux 服务器安全加固和内核参数调优 nf_conntrack

0.内部设置跳板机，服务器只能通过跳板机登录
1.禁止ROOT用户远程登录和登录端口
禁止ROOT用户远程登录 。打开  /etc/ssh/sshd_config  
PermitRootLogin no
2.对用户密码强度的设定
12个字符以上，大小写，特殊字符
3.对重要的文件进行锁定，即使ROOT用户也无法删除
chattr????改变文件或目录的扩展属性

lsattr????查看文件目录的扩展属性

chattr??+i??/etc/passwd /etc/shadow? ? ? ? ? ? ? ? ?//增加属性
chattr? -i??/etc/passwd /etc/shadow? ? ? ? ? ? ? ? ?//移除属性 ?
lsattr??/etc/passwd /etc/shadow
--------------------- 
https://blog.csdn.net/qq_36119192/article/details/82906799 

内核参数调优：
0.redis服务器内核调优
就一条
vm.overcommit_memory = 1
为了避免当系统内存不足时，系统杀掉内存占用最大的程序（往往都是redis QAQ）。
不要忘了执行命令生效一下
1.#增大文件描述符
ulimit -n 65536
echo -ne "
* soft nofile 65536
* hard nofile 65536
" >>/etc/security/limits.conf

2.#修改系统线程限制
echo -ne "
* soft nproc 2048
* hard nproc 4096
" >>/etc/security/limits.conf

0.链接追踪表问题
nginx服务器在开启防火墙时最容易遇到如下情况
执行dmesg命令，查看系统打印信息
nf_conntrack: table full,dropping packet
（链接追踪表已满）
这是相当常见的问题，而且十分严重，导致服务器随机丢弃请求，你的并发突破不了几千。

调优方式：
增加或者修改内核参数
vim /etc/sysctl.conf
net.nf_conntrack_max = 655360 （状态跟踪表的最大行数，16G的服务器）
net.netfilter.nf_conntrack_tcp_timeout_established = 1200（设置超时时间）
修改完毕后执行sysctl-p生效命令。
参考：https://www.cnblogs.com/kerwinC/p/6835208.html