sysctl.conf

net.ipv4.conf.all.accept_source_route = 0
Не принимать исходящие маршрутизированные пакеты.
Злоумышленники могут использовать исходящую маршрутизацию для генерации трафика,
имеющего адрес внутренней сети, но на самом деле возвращаемого назад злоумышленнику,
что позволит ему компрометировать сеть.
net.ipv4.icmp_echo_ignore_broadcasts = 1
Эта опция отключает ответ на широковещательные ICMP-запросы, предотвращая реализацию Smurf-атаки.
Smurf-атака основана на отправке ICMP-пакета типа 0 (ping) по широковещательному адресу сети.
Обычно для этого злоумышленник использует поддельный адрес. Все компьютеры сети ответят на сообщение ping,
что может вызвать наводнение трафика на узел, адрес которого был подделан.
net.ipv4.icmp_ignore_bogus_error_responses = 1
Включить защиту против приходящих неправильных сообщений об ошибках.
kernel.exec-shield = 1 (CentOS)
Включает защиту от переполнения стэка, буфферов и указателей.
kernel.randomize_va_space = 2
Включает ASLR. Включено по умолчанию.
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
Запрещаем icmp редиректы.
net.ipv4.conf.all.forwarding = 0
Запрещаем форвардинг. Имеет смысл, если на сервере не настроен VPN или другое специфическое ПО, требующее форвардинг.
net.ipv4.tcp_syncookies = 1
Включение механизма SYN cookies является очень простым способом борьбы
против атаки SYN флудом. При этом немного больше загружается процессор
из-за необходимости создавать и сверять cookie.
net.ipv4.tcp_synack_retries = 3
Определяет число попыток повтора передачи пакетов SYNACK для пассивных соединений TCP
net.ipv4.tcp_keepalive_time=1800
Уменьшим время которое используется для сообщений о поддержке keep alive соединений.
net.ipv4.tcp_keepalive_probes=3
Количество проверок перед закрытием соединения.
net.ipv4.tcp_fin_timeout=30
Указываем время в секундах, в течении которого следует ожидать приема FIN до закрытия сокета.