2022年linux系统安全加固手册.doc

《2022年linux系统安全加固手册.doc》由会员分享，可在线阅读，更多相关《2022年linux系统安全加固手册.doc（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、系统平安加固手册1 帐户平安配置要求1.1 创立/etc/shadow影子口令文件配置项名称设置影子口令形式检查方法执行：#more /etc/shadow查看是否存在该文件操作步骤1、执行备份：#cp p /etc/passwd /etc/passwd_bak2、切换到影子口令形式：#pwconv回退操作执行：#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令形式，切换不成功可能导致整个用户治理失效1.2 建立多帐户组，将用户账号分配到相应的帐户组配置项名称建立多帐户组，将用户账号分配到相应的帐户组检查方法1、执行：#more /et

2、c/group#more /etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修正用户组的用户操作步骤1、执行备份：#cp p /etc/group /etc/group_bak2、修正用户所属组：# usermod g group username回退操作执行：#cp /etc/group_bak /etc/group风险说明修正用户所属组可能导致某些应用无法正常运转1.3 删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检查方法1、执行：#more /etc/passwd查看是否存在以下可能无用的帐户：hpsmh、named、uucp、nuucp、adm、da

3、emon、bin、lp2、与治理员确认需要锁定的帐户操作步骤1、执行备份：#cp p /etc/passwd /etc/passwd_bak2、锁定无用帐户：#passwd -l username回退操作执行：#cp /etc/passwd_bak /etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运转1.4 删除可能无用的用户组配置项名称删除可能无用的用户组检查方法1、执行：#more /etc/group查看是否存在以下可能无用的用户组：lp nuucp nogroup2、与治理员确认需要删除的用户组操作步骤1、执行备份：#cp p /etc/group /etc/grou

4、p_bak2、删除无用的用户组：#groupdel groupname回退操作执行：#cp /etc/group_bak /etc/group风险说明删除某些组可能导致某些应用无法正常运转1.5 检查是否存在空密码的帐户配置项名称检查是否存在空密码的帐户检查方法执行以下命令，检查是否存在空密码的帐户logins p应无回结果操作步骤1、执行备份：#cp p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd l username回退操作执行：#cp p /e

5、tc/passwd_bak /etc/passwd#cp -p /etc/shadow_bak /etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运转1.6 设置口令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检查方法1、执行以下命令，检查是否存在空密码的帐户#logins p应无返回结果2、执行：#more /etc/default/security检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MI

6、N_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、执行以下命令，编辑/etc/default/security#vi /etc/default/security修正以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD

7、_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行： #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能导致非root用户修正本人的密码时屡次不成功1.7 设置帐户口令生存周期配置项名称设置帐户口令生存周期检查方法执行：#more /etc/default/security查看是否存在以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步骤1、执行备份：#cp p /etc

8、/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、执行以下命令，编辑/etc/default/security#vi /etc/default/security修正以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行： #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能在密码过期后妨碍正常使用及维护1.8 设定密码

9、历史，不能重复使用最近5次（含5次）内已使用的口令配置项名称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检查方法执行：#more /etc/default/security查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、执行以下命令，编辑/etc/default/security#vi /etc/default/security修正以下参数：PASSWORD_

10、HISTORY_DEPTH=5回退操作执行： #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明低风险1.9 限制root用户远程登录配置项名称root用户远程登录限制检查方法执行：#more /etc/securetty检查是否有以下行：Console执行：#more /opt/ssh/etc/sshd_config检查是否有PermitRootLogin no操作步骤1、执行备份：#cp p /etc/securetty / etc/securetty_bak#cp -

11、p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak2、新建一个一般用户并设置高强度密码：#useradd username#passwd username3、禁止root用户远程登录系统：#vi /etc/securetty去掉console前面的注释，保存退出#vi /opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作执行：#cp /etc/securetty_bak /etc/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/s

12、sh/etc/sshd_config风险说明严峻改变维护人员操作适应，必须新建一个可以执行交互式登录的一般用户并可以通过su提升权限，可能带来新的威胁1.10 检查passwd、group文件权限设置配置项名称检查passwd、group文件权限设置检查方法执行：#ls l /etc/passwd /etc/group操作步骤1、执行备份：#cp p /etc/passwd /etc/passwd_bak#cp p /etc/group /etc/group_bak2、修正文件权限：#chmod 644 /etc/passwd#chmod 644 /etc/group回 退执行：#cp /et

13、c/passwd_bak /etc/passwd#cp /etc/group_bak /etc/group风险说明权限设置不当可能导致无法执行用户治理，并可能造成某些应用运转异常 1.11 系统umask设置配置项名称系统umask设置检查方法执行：#more /etc/profile检查系统umask值操作步骤1、执行备份：#cp -p /etc/profile /etc/profile_bak2、修正umask设置：#vi /etc/profile将umask值修正为027，保存退出回退操作执行：#cp /etc/profile_bak /etc/profile风险说明umask设置不当可

14、能导致某些应用无法正确自动创立目录或文件，从而运转异常 2 访征询、认证平安配置要求2.1 远程登录用消telnet采纳ssh配置项名称远程登录用消telnet采纳ssh检查方法查看SSH、telnet效劳状态：#ps elf | grep ssh#ps elf | grep telnetSSH效劳状态查看结果为：onlinetelnet效劳状态查看结果为：disabled操作步骤1、备份#cp p /etc/inetd.conf /etc/inetd.conf_bak2、修正/etc/inetd.conf文件，将telnet行注释掉#telnet stream tcp nowait root

15、 /usr/lbin/telnetd telnetd3、重启效劳# inetd -c4、安装ssh软件包，通过#/opt/ssh/sbin/sshd start来启动SSH。回退操作执行：#cp p /etc/inetd.conf_bak /etc/inetd.conf启动telnet#/usr/lbin/telnetd start停顿SSH#/opt/ssh/sbin/sshd stop风险说明妨碍维护人员操作适应，需要重启效劳2.2 限制系统帐户FTP登录配置项名称限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐

16、户FTP登录检查方法执行：#cat /etc/ftpd/ftpusers查看详细的禁止FTP登陆系统的用户名单操作步骤1、执行备份：#cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak2、禁止用户FTP登录系统：#vi /etc/ftpd/ftpusers每一个帐户一行，添加以下帐户禁止FTP登录root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作执行：#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers风险说明禁止某些帐户登录FTP可能导致某

17、些应用无法正常运转2.3 配置同意访征询inetd效劳的IP范围或主机名配置项名称配置同意访征询inetd效劳的IP范围或主机名检查方法执行：#cat /var/adm/inetd.sec查看有无类似login deny 192.54.24.5 cory.berkeley.edu testlan配置操作步骤1、执行备份：#cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak2、添加同意访征询inetd效劳的IP范围或主机名：#vi /var/adm/inetd.sec按照如下格式添加IP范围或主机名service name allow | deny h

18、ostaddrs | hostnames |netaddrs | netnames 回退操作执行：#cp /var/adm/inetd.sec_bak /var/adm/inetd.sec风险说明需确认IP信任范围，设置不当会导致网络效劳通讯异常2.4 禁止除root外帐户使用at/cron配置项名称禁止除root外帐户使用at/cron检查方法执行：# cd /var/adm/cron#cat cron.allow#cat at.allow查看是否存在root；执行：#cat cron.deny#cat at.deny检查是否存在cron.deny和at.deny文件，假设存在，应删除。操作

19、步骤1、执行备份# cd /var/adm/cron#cp -p cron.deny cron.deny_bak#cp -p at.deny at.deny_bak#cp -p cron.allow cron.allow_bak#cp -p at.allow at.allow _bak2、添加root到cron.allow和at.allow，并删除cron.deny和at.deny。#cd /var/adm/cron#rm -f cron.deny at.deny#echo root cron.allow#echo root at.allow#chown root:sys cron.allow

20、 at.allow#chmod 400 cron.allow at.allow回退操作# cd /var/adm/cron#cp -p cron.deny_bak cron.deny#cp -p at.deny_bak at.deny#cp -p cron.allow_bak cron.allow#cp -p at.allow_bak at.allow风险说明除root外帐户不能使用at/cron，可能妨碍某些应用。2.5 设定连续认证失败次数超过6次（不含6次）锁定该账号配置项名称配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检查方法执行：#cat /etc/defa

21、ult/security检查是否存在AUTH_MAXTRIES=6操作步骤1、执行备份#cp -p /etc/default/security /etc/default/security_bak2、执行以下命令，设置最大登录认证重试次数锁定帐户为6次echo AUTH_MAXTRIES=6 /etc/default/security回退操作#cp -p /etc/default/security_bak /etc/default/security风险说明root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因而该配置要慎用。3 文件系统平安配置要求3.1 重要目录和文件的权限设

22、置配置项名称重要目录和文件的权限设置检查方法执行以下命令检查目录和文件的权限设置情况：#ls l /etc/#ls l /tmp/#ls l /etc/default/#ls -l /etc/rc.config.d/操作步骤1、执行备份：使用cp命令备份需要修正权限的文件或目录2、权限修正：使用chmod命令修正文件或目录权限回退操作使用cp命令恢复被修正权限的文件或目录或使用chmod命令恢复权限风险说明修正某些重要的配置文件的权限可能导致系统功能或应用异常3.2 检查没有所有者的文件或目录配置项名称检查没有所有者的文件或目录检查方法执行：#find / ( -nouser -o -nogr

23、oup ) -exec ls -al ;征询治理员找到的文件或目录是否应用所需操作步骤1、执行备份：使用cp命令备份没有所有者的文件或目录2、使用chmod命令添加属主或删除没有所有者的文件或目录：#rm rf filename回退操作使用cp命令恢复被删除的没有所有者的文件或目录风险说明执行检查会大量耗费系统资源，需要确认无所有者的文件的详细用处4 网络效劳平安配置要求4.1 禁止NIS/NIS+效劳以守护方式运转配置项名称禁止NIS/NIS+效劳以守护方式运转Network Information System检查方法执行：#more /etc/rc.config.d/namesvrs查看

24、该文件中是否存在以下参数：NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=0操作步骤1、执行备份：#cp -p /etc/rc.config.d/namesvrs /etc/rc.config.d/namesvrs_bak2、编辑/etc/rc.config.d/namesvrs文件，设置参数：#ch_rc -a -p NIS_MASTER_SERVER=0 -p NIS_SLAVE_SERVER=0 -p NIS_CLIENT=0 -p NISPLUS_SERVER=0 -p NI

25、SPLUS_CLIENT=0 /etc/rc.config.d/namesvrs回退操作#cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs风险说明NIS/NIS+效劳无法自动启动4.2 禁用打印效劳以守护方式运转配置项名称禁止打印效劳以守护方式运转检查方法执行：#more /etc/rc.config.d/tps查看该文件中是否存在XPRINTSERVERS=#more /etc/rc.config.d/lp查看该文件中是否存在LP=0#more /etc/rc.config.d/pd查看该文件中是否存在PD_CLIEN

26、T=0操作步骤1、执行备份：#cp -p /etc/rc.config.d/tps /etc/rc.config.d/tps_bak#cp -p /etc/rc.config.d/lp /etc/rc.config.d/lp_bak#cp -p /etc/rc.config.d/pd /etc/rc.config.d/pd_bak2、设置参数：#ch_rc -a -p XPRINTSERVERS= /etc/rc.config.d/tps#ch_rc -a -p LP=0 /etc/rc.config.d/lp#ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/

27、pd回退操作#cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs风险说明打印效劳无法自动启动4.3 禁用SENDMAIL效劳以守护方式运转配置项名称禁止SENDMAIL效劳以守护方式运转检查方法执行：#more /etc/rc.config.d/mailservs查看该文件中是否存在SENDMAIL_SERVER=0操作步骤1、执行备份：#cp -p /etc/rc.config.d/mailservs /etc/rc.config.d/mailservs_bak#cp -p /var/spool/cron/crontab

28、s/root /var/spool/cron/crontabs/root_bak2、设置参数：#ch_rc -a -p SENDMAIL_SERVER=0 /etc/rc.config.d/mailservs#cd /var/spool/cron/crontabs#crontab -l root.tmp#echo 0 * * * * /usr/lib/sendmail -q root.tmp#crontab root.tmp#rm -f root.tmp回退操作#cp -p /etc/rc.config.d/mailservs /etc/rc.config.d/mailservs_bak#cp

29、 -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak风险说明导致无法收发邮件，需确认效劳器用处4.4 禁用不必要的标准启动效劳配置项名称禁用不必要的标准启动效劳检查方法检查SNAplus2效劳，执行：#more /etc/rc.config.d/snaplus2查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查多播路由效劳，执行：#more /etc/rc.config.d/netdaemons查看该文件中是否存在MROUTED=0、RWHOD

30、=0、DDFA=0、START_RBOOTD=0检查DFS分布式文件系统效劳，执行：#more /etc/rc.config.d/dfs查看该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0检查逆地址解析效劳，执行：#more /etc/rc.config.d/netconf查看该文件中是否存在RARPD=0、RDPD=0检查响应PT

31、Y（伪终端）恳求守护进程，执行：#more /etc/rc.config.d/ptydaemon查看该文件中是否存在PTYDAEMON_START=0检查响应VT（通过LAN登录其他系统）恳求守护进程，执行：#more /etc/rc.config.d/vt查看该文件中是否存在VTDAEMON_START=0检查域名守护进程效劳，执行：#more /etc/rc.config.d/namesvrs查看该文件中是否存在NAMED=0检查SNMP代理进程效劳，执行：#more /etc/rc.config.d/peer.snmpd查看该文件中是否存在PEER_SNMPD_START=0检查受权治理

32、守护进程效劳，执行：#more /etc/rc.config.d/i4lmd查看该文件中是否存在START_I4LMD=0检查SNAplus2效劳，执行：#more /etc/rc.config.d/snaplus2查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查X字体效劳，执行：#more /etc/rc.config.d/xfs查看该文件中是否存在RUN_X_FONT_SERVER=0检查语音效劳，执行：#more /etc/rc.config.d/audio查看该文件中是否存在AUDIO_SERVER=0检查SLSD

33、（Single-Logical-Screen-Daemon）效劳，执行：#more /etc/rc.config.d/slsd查看该文件中是否存在SLSD_DAEMON=0检查SAMBA效劳，执行：#more /etc/rc.config.d/samba查看该文件中是否存在RUN_SAMBA=0检查CIFS客户端效劳，执行：#more /etc/rc.config.d/cifsclient查看该文件中是否存在RUN_CIFSCLIENT=0检查NFS启动效劳，执行：#more /etc/rc.config.d/nfsconf查看该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0

34、检查Netscape FastTrack Server效劳，执行：#more /etc/rc.config.d/ns-ftrack查看该文件中是否存在NS_FTRACK=0检查APACHE效劳，执行：#more /etc/rc.config.d/apacheconf查看该文件中是否存在APACHE_START=0检查基于RPC的效劳，执行：#ls /sbin/rc2.d/.NOS400nfs.core查看是否存在该文件操作步骤1、执行备份：使用cp命令备份需要修正的文件2、设置参数：执行以下命令，禁用SNAplus2效劳#ch_rc -a -p START_SNAPLUS=0 -p START

35、_SNANODE=0 -p START_SNAINETD=0 /etc/rc.config.d/snaplus2执行以下命令，禁用多播路由效劳#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -p START_RBOOTD=0 /etc/rc.config.d/netdaemons执行以下命令，禁用DFS分布式文件系统效劳#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -p DFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p B

36、OSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.config.d/dfs执行以下命令，禁用逆地址解析效劳#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.config.d/netconf执行以下命令，禁用响应PTY（伪终端）恳求守护进程#ch_rc -a -p PTYDAEMON_START=0 /etc/rc.config.d/ptydaemon执行以下命令，禁用响应VT（通过LAN登录其他系统）恳求守护进程#ch_rc -a -p VT

37、DAEMON_START=0 /etc/rc.config.d/vt执行以下命令，禁用域名守护进程#ch_rc -a -p NAMED=0 /etc/rc.config.d/namesvrs执行以下命令，禁用SNMP代理进程#ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.config.d/peer.snmpd执行以下命令，禁用受权治理守护进程#ch_rc -a -p START_I4LMD=0 /etc/rc.config.d/i4lmd执行以下命令，禁用X字体效劳#ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.config.d

38、/xfs执行以下命令，禁用语音效劳#ch_rc -a -p AUDIO_SERVER=0 /etc/rc.config.d/audio执行以下命令，禁用SLSD（Single-Logical-Screen-Daemon）效劳#ch_rc -a -p SLSD_DAEMON=0 /etc/rc.config.d/slsd执行以下命令，禁用SAMBA效劳#ch_rc -a -p RUN_SAMBA=0 /etc/rc.config.d/samba执行以下命令，禁用CIFS客户端效劳#ch_rc -a -p RUN_CIFSCLIENT=0 /etc/rc.config.d/cifsclient执行

39、以下命令，禁用NFS效劳#ch_rc -a -p NFS_SERVER=0 -p NFS_CLIENT=0 /etc/rc.config.d/nfsconf执行以下命令，禁用Netscape FastTrack Server效劳#ch_rc -a -p NS_FTRACK=0 /etc/rc.config.d/ns-ftrack执行以下命令，禁用APACHE效劳#ch_rc -a -p APACHE_START=0 /etc/rc.config.d/apacheconf执行以下命令，禁用基于RPC的效劳#mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.N

40、OS400nfs.core回退操作使用cp命令恢复被修正的文件风险说明禁用效劳会妨碍某些应用运转 4.5 禁用不必要的inetd效劳配置项名称inetd中根本网络效劳配置检查方法执行：#more /etc/inetd.conf检查根本的网络效劳的开启或禁止情况操作步骤1、执行备份：#cp p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要效劳：#vi /etc/inetd.conf在非必要效劳前面加#注释3、重新启动inetd：#/sbin/init.d/inetd stop|start回退操作执行：#cp /etc/inetd.conf_bak /etc

41、/inetd.conf#/sbin/init.d/inetd stop|start风险说明关闭某些网络效劳可能导致应用出现征询题，重启inetd效劳可能导致业务中断5 IP协议平安配置要求5.1 关闭IP转发配置项名称关闭IP转发检查方法执行：#ndd -get /dev/ip ip_forwarding查看是否关闭IP转发，返回值应为0操作步骤1、执行备份记录需要修正的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行以下命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip i

42、p_forwarding 0建立启动项，使参数重启后永久生效：#cd /etc/rc.config.d#cat nddconf# Dont ip forwardingTRANSPORT_NAME0=ipNDD_NAME0= ip_forwardingNDD_VALUE0=0EOF 回退操作1、使用ndd -set恢复修正前的参数2、执行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf风险说明可能导致路由错误，无法通讯。5.2 关闭转发源路由包配置项名称关闭转发源路由包检查方法执行：#ndd -get /dev/ip ip

43、_forward_src_routed查看是否关闭转发源路由包，返回值应为0操作步骤1、执行备份记录需要修正的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行以下命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_forward_src_routed 0建立启动项，使参数重启后永久生效：#cd /etc/rc.config.d#cat nddconf# Drop source-routed packetsTRANSPORT_NAME1=ipNDD_NAME1=ip_fo

44、rward_src_routedNDD_VALUE1=0EOF 回退操作1、使用ndd -set恢复修正前的参数2、执行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf风险说明可能导致路由错误，无法通讯。5.3 增大最大半连接数防备SYN攻击配置项名称增大最大半连接数检查方法执行：# ndd -get /dev/tcp tcp_syn_rcvd_max查看返回值应最小为4096操作步骤1、执行备份记录需要修正的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行以下命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/tcp tcp_syn_rcvd_max 4096建立启动项，使参数重启后永久生效：#cd /etc/rc.config.d#cat nddconf# Increase size of half-open connection queueTRANSPORT_NAME2=tcpNDD_NAME2=tcp_syn_rcvd_maxNDD_VAL