Wiki Projeto Root - Contribuições do usuário [pt-br]

OpenWRT - Redimensionar disco

2026-04-30T00:33:49Z

Diegocosta: /* Processo automático */

==Sobre ==
Olá! Visitante, reunimos aqui, informações sobre como redimensionar a partição ou disco do OpenWRT-X86/ARM. Quando instalamos o OpenWRT através de uma img do site do fabricante a img vem o mais compacta possivel (256 MB) de disco, portanto em alguns cenários é preciso aumentar a partição para uma melhora no desempenho e para poder instalar aplicativos que geram muitos LOGs, etc.. Neste caso, faça como o exemplo abaixo para aumentar o disco para o total informado na VM.

Fonte: https://openwrt.org/docs/guide-user/advanced/

== Processo manual ==
# Configure startup scripts
cat << "EOF" > /etc/uci-defaults/70-rootpt-resize
if [ ! -e /etc/rootpt-resize ] \
&& type parted > /dev/null \
&& lock -n /var/lock/root-resize
then
ROOT_BLK="$(readlink -f /sys/dev/block/"$(awk -e \
'$9=="/dev/root"{print $3}' /proc/self/mountinfo)")"
ROOT_DISK="/dev/$(basename "${ROOT_BLK%/*}")"
ROOT_PART="${ROOT_BLK##*[^0-9]}"
parted -f -s "${ROOT_DISK}" \
resizepart "${ROOT_PART}" 100%
mount_root done
touch /etc/rootpt-resize
reboot
fi
exit 1
EOF
cat << "EOF" > /etc/uci-defaults/80-rootfs-resize
if [ ! -e /etc/rootfs-resize ] \
&& [ -e /etc/rootpt-resize ] \
&& type losetup > /dev/null \
&& type resize2fs > /dev/null \
&& lock -n /var/lock/root-resize
then
ROOT_BLK="$(readlink -f /sys/dev/block/"$(awk -e \
'$9=="/dev/root"{print $3}' /proc/self/mountinfo)")"
ROOT_DEV="/dev/${ROOT_BLK##*/}"
LOOP_DEV="$(awk -e '$5=="/overlay"{print $9}' \
/proc/self/mountinfo)"
if [ -z "${LOOP_DEV}" ]
then
LOOP_DEV="$(losetup -f)"
losetup "${LOOP_DEV}" "${ROOT_DEV}"
fi
resize2fs -f "${LOOP_DEV}"
mount_root done
touch /etc/rootfs-resize
reboot
fi
exit 1
EOF
cat << "EOF" >> /etc/sysupgrade.conf
/etc/uci-defaults/70-rootpt-resize
/etc/uci-defaults/80-rootfs-resize
EOF

== OpenWRT 25+ ==

OPKG não é mais suportado agora passa a ser apk conforme:

{| class="wikitable"
! OPKG Command !! APK Equivalent !! Description
|-
| opkg install <pkg> || apk add <pkg> || Install a package
|-
| opkg remove <pkg> || apk del <pkg> || Remove a package
|-
| opkg upgrade || apk upgrade || Upgrade all packages
|-
| opkg files <pkg> || apk info -L <pkg> || List package contents
|-
| opkg list-installed || apk info || List installed packages
|-
| opkg update || apk update || Update package lists
|-
| opkg search <pkg> || apk search <pkg> || Search for packages
|}

Para versões 25 ou superior fazer na cli

<pre>
apk add lsblk block-mount fdisk parted losetup resize2fs
</pre>

== Processo automático ==

wget -U "" -O expand-root.sh "https://openwrt.org/_export/code/docs/guide-user/advanced/expand_root?codeblock=0"
chmod +x expand-root.sh
./expand-root.sh
opkg update
opkg install parted losetup resize2fs
sh /etc/uci-defaults/70-rootpt-resize

Proxmox - ZFS

2026-04-11T04:26:23Z

Diegocosta: Criou página com '= Sobre = Olá! Visitante, reunimos aqui, informações sobre como adicionar um novo SSD NVME no mirror ZFS sem precisar reinstalar o Proxmox. = Caso = Meu servidor foi instalado com 2 NVME para o sistema Proxmox, um dos SSDs NVMe apresentou defeito em garantia, após a fábrica mandar outra unidade, para não precisar reinstalar todo o sistema novamente, adicionei a unidade nova ao ZFS. Então segue abaixo o que realizei para ter sucesso! = Adição de SSD NVMe em Mi...'

= Sobre =
Olá! Visitante, reunimos aqui, informações sobre como adicionar um novo SSD NVME no mirror ZFS sem precisar reinstalar o Proxmox.

= Caso =
Meu servidor foi instalado com 2 NVME para o sistema Proxmox, um dos SSDs NVMe apresentou defeito em garantia, após a fábrica mandar outra unidade, para não precisar reinstalar todo o sistema novamente, adicionei a unidade nova ao ZFS. Então segue abaixo o que realizei para ter sucesso!

= Adição de SSD NVMe em Mirror no Proxmox com ZFS (sem reinstalação) =

= Objetivo =
Converter um pool ZFS existente (disco único) em um mirror utilizando um segundo SSD NVMe, sem perda de dados e mantendo o Proxmox funcional.

= Cenário Inicial =

* Proxmox instalado em ZFS (pool: rpool)
* 1 SSD NVMe em uso
* 1 SSD NVMe novo (sem partição)

Exemplo:

zpool status

<pre>
pool: rpool
state: ONLINE

nvme-eui.e8238fa6bf530001001b448b4d16edd4-part3
</pre>

= Identificação dos Discos =

Verificar discos e estrutura:

<pre>
lsblk
zpool status -P
</pre>

Exemplo:

<pre>
nvme1n1 → disco atual (com sistema)
nvme0n1 → disco novo (vazio)
</pre>

Confirmar via by-id:

<pre>
ls -l /dev/disk/by-id/ | grep nvme
</pre>

== Etapa 1 - Clonar Tabela de Partições ==

Copiar layout do disco atual para o novo:

<pre>
sgdisk -R=/dev/nvme0n1 /dev/nvme1n1
sgdisk -G /dev/nvme0n1
</pre>

Explicação:

* -R → replica tabela GPT

* -G → gera novos GUIDs (evita conflito)

== Etapa 2 - Validar Partições ==

<pre>
lsblk
</pre>

Esperado:

<pre>
nvme0n1p1 BIOS
nvme0n1p2 EFI
nvme0n1p3 ZFS
</pre>

== Etapa 3 - Identificar discos via by-id ==

<pre>
ls -l /dev/disk/by-id/ | grep nvme
</pre>

Exemplo:

<pre>
nvme-eui.e8238fa6bf530001001b448b4d16edd4 → disco atual
nvme-eui.e8238fa6bf530001001b448b4fee1734 → disco novo
</pre>

== Etapa 4 - Criar Mirror no ZFS ==

<pre>
zpool attach rpool \
/dev/disk/by-id/nvme-eui.e8238fa6bf530001001b448b4d16edd4-part3 \
/dev/disk/by-id/nvme-eui.e8238fa6bf530001001b448b4fee1734-part3
</pre>

== Etapa 5 - Acompanhar Resilver ==

<pre>
zpool status
</pre>

Exemplo:

<pre>
mirror-0
nvme-eui...edd4-part3
nvme-eui...1734-part3
</pre>

== Etapa 6 - Configurar Boot no Novo Disco ==

Formatar partição EFI:

<pre>
proxmox-boot-tool format /dev/nvme0n1p2
</pre>

Inicializar boot:

<pre>
proxmox-boot-tool init /dev/nvme0n1p2
</pre>

Atualizar:

<pre>
proxmox-boot-tool refresh
</pre>

== Observação Importante ==

Caso apareça erro:

<pre>
has wrong filesystem (!= vfat)
</pre>

Executar novamente:

<pre>
proxmox-boot-tool init /dev/nvme0n1p2
proxmox-boot-tool refresh
</pre>

== Etapa 7 - Validar Boot ==

<pre>
proxmox-boot-tool status
</pre>

Esperado:

<pre>
92F0-69FF → nvme0n1p2
C7B6-374D → nvme1n1p2
</pre>

== Etapa 8 - Validar ZFS ==

<pre>
zpool status
</pre>

Esperado:

<pre>
mirror-0
nvme-eui...edd4-part3
nvme-eui...1734-part3
</pre>

= Resultado Final =

* Pool ZFS em mirror
* Dados redundantes
* Boot redundante em ambos discos
* Sistema resiliente a falha de SSD

= Teste Recomendado =

1. Desligar o servidor

2. Remover um dos NVMe

3. Ligar e validar boot

4. Repetir com o outro disco

= Boas Práticas =

* Sempre usar /dev/disk/by-id no ZFS

* Nunca usar disco inteiro, sempre partição (p3)

* Validar GUID após clonagem

* Garantir ESP em todos os discos

= Comandos Utilizados =

<pre>
zpool status
zpool status -P
lsblk
fdisk -l
sgdisk -R
sgdisk -G
zpool attach
proxmox-boot-tool format
proxmox-boot-tool init
proxmox-boot-tool refresh
blkid
</pre>

Otimizações no Proxmox

2026-03-06T12:10:47Z

Diegocosta: /* Ajustes no Kernel */

=== Sobre ===
Olá! Visitante, reunimos aqui, informações sobre como realizar otimizações no sistema para que o Proxmox tenha mais performance.

Fontes: https://pve.proxmox.com/pve-docs/

== Conceitos ==

Para otimizar o Proxmox para ter maior performance no hardware, você pode seguir várias práticas recomendadas e ajustes. Aqui estão algumas dicas:

{{Nota|Tenha um Hardware Compatível e Adequado }}

'''CPU:''' Utilize processadores com suporte a virtualização ('''Intel VT-x''' ou '''AMD-V''').

'''Memória RAM:''' Certifique-se de ter memória suficiente para suportar suas VMs. Utilize memória RAM com '''ECC''' (Error-Correcting Code) para maior confiabilidade.

'''Armazenamento:''' Utilize discos '''SSD''' ou '''NVMe''' para armazenamento de VMs, já que são muito mais rápidos que HDDs tradicionais.

'''Rede:''' Configure placas de rede de alta performance ('''10GbE''' ou superior) e use '''LACP''' (Link Aggregation Control Protocol) para aumentar a largura de banda e redundância.

== Comandos úteis ==

Alterar a senha de compartilhamento CIFS

<pre>
pvesm set NOME-ID --password
</pre>

{{Nota| Este comando altera a senha de um compartilhamento CIFS já mapeados como storage no proxmox. }}

=== Configuração do Proxmox ===

'''Kernel:''' Utilize a versão mais recente do kernel do Proxmox para aproveitar as últimas melhorias e correções de segurança.

'''Cgroups''' e '''NUMA''': Habilite '''cgroups''' e configure '''NUMA''' (Non-Uniform Memory Access) corretamente, especialmente em sistemas com múltiplas CPUs.

'''I/O Threads''': Habilite e configure I/O threads nas VMs para melhorar o desempenho de disco.

=== Armazenamento ===
'''ZFS''': Se utilizar ZFS, ajuste os parâmetros de memória ARC e considere usar SSDs para cache (ZIL e L2ARC).

'''LVM''': Use LVM sobre discos rápidos (preferencialmente SSDs) e configure o thin provisioning para economizar espaço.

=== Configuração das VMs ===

'''Virtio Drivers''': Utilize drivers Virtio para disco e rede nas VMs para melhor performance.

'''Recursos Alocados:''' Evite superprovisionar CPU e memória. Alocar mais recursos do que o disponível no host pode degradar a performance.

'''Ballooning''': Habilite o ballooning para gerenciar dinamicamente a memória entre as VMs.

'''CPU Pinning''': Configure o pinning de CPU para garantir que certas VMs utilizem CPUs específicas, reduzindo a latência.

=== Rede ===
'''Bridged Networking''': Utilize a configuração de bridge networking para reduzir a latência e aumentar a performance de rede.

'''Offloading''': Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU.

=== Monitoramento e Ajustes Contínuos ===

'''Monitoramento''': Utilize ferramentas como htop, iotop, vmstat e o monitoramento integrado do Proxmox para observar o uso de recursos e identificar gargalos.

'''Ajustes''': Baseado nos dados de monitoramento, ajuste a configuração das VMs e do host para otimizar a performance.

=== Backup e Manutenção ===

'''Snapshots''' e '''Backups''': Utilize snapshots com moderação, pois podem impactar na performance. Configure backups regulares sem afetar a performance durante horários de pico.

'''Atualizações''': Mantenha o Proxmox e os sistemas das VMs sempre atualizados com as últimas versões e patches de segurança.
Seguindo essas práticas, você deve conseguir extrair o máximo de performance do seu ambiente Proxmox.

== Ajustes nas Interfaces de Rede ==

Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU, no Proxmox, as opções de offloading de rede '''não''' são configuradas diretamente através da interface web do Proxmox. Em vez disso, você precisa '''configurá-las manualmente no sistema operacional subjacente (Debian)''' utilizando ferramentas de rede como '''ethtool'''.

{{Nota| O descarregamento de segmentação (TSO) é uma técnica de otimização que reduz a sobrecarga da CPU em operações de rede relacionadas a TCP/IP. Com o TSO ativado, um controlador de Internet de rede (NIC) divide grandes pedaços de dados que viajam por uma rede em segmentos TCP menores. Sem o TSO, a segmentação é realizada pela CPU, o que gera um overhead. TSO também é conhecido como LSO (Large Segment Offload).}}

{{Nota| Generic Segmentation Offload (GSO) é uma implementação de software amplamente usada do TCP Segmentation Offload (TSO), que reduz a sobrecarga de processamento por pacote. Assim como o TSO, o GSO ganha desempenho ao permitir que aplicativos de camada superior processem um número menor de pacotes grandes (por exemplo, tamanho de MTU de 64 KB), em vez de processar um número maior de pacotes pequenos (por exemplo, tamanho de MTU de 1500 B), reduzindo assim a sobrecarga por pacote. }}

{{Nota| Generic Receive Offload (GRO) é uma técnica de offloading baseada em SW amplamente usada para reduzir as sobrecargas de processamento por pacote. Ao remontar pacotes pequenos em pacotes maiores, o GRO permite que os aplicativos processem menos pacotes grandes diretamente, reduzindo assim o número de pacotes a serem processados. Para beneficiar aplicativos baseados em DPDK, como o Open vSwitch, o DPDK também fornece sua própria implementação de GRO. No DPDK, o GRO é implementado como uma biblioteca autônoma. Os aplicativos usam explicitamente a biblioteca GRO para remontar pacotes. }}

{{Nota| TCP Checksum Offload (IPv4 and IPv6),esta configuração permite que o adaptador verifique o checksum TCP de pacotes de entrada/saída (RX/TX) e calcule o checksum TCP de pacotes de entrada e saída. Este recurso melhora o desempenho de recepção e transmissão e reduz a utilização da CPU. Com o Offloading desativado, o sistema operacional verifica a soma de verificação do TCP. Com o Offloading ativado, o adaptador conclui a verificação do sistema operacional. }}

Edite o arquivo /etc/network/interfaces ou crie um script para ser executado na inicialização. Adicione as seguintes linhas ao arquivo /etc/network/interfaces (substitua '''ens1f0''' e '''ens1f1''' pelos nomes das suas interfaces de redes):

nano /etc/network/interfaces

auto lo
iface lo inet loopback

iface ens1f0 inet manual
iface ens1f1 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge-ports ens1f0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f0 tso on'''
'''post-up /sbin/ethtool -K ens1f0 gso on'''
'''post-up /sbin/ethtool -K ens1f0 gro on'''
'''post-up /sbin/ethtool -K ens1f0 rx on'''
'''post-up /sbin/ethtool -K ens1f0 tx on'''

auto vmbr0.800
iface vmbr0.800 inet static
address 10.10.80.101/24
gateway 10.10.80.1
# Interface de Gerência

auto vmbr1
iface vmbr1 inet manual
bridge-ports ens1f1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f1 tso on'''
'''post-up /sbin/ethtool -K ens1f1 gso on'''
'''post-up /sbin/ethtool -K ens1f1 gro on'''
'''post-up /sbin/ethtool -K ens1f1 rx on'''
'''post-up /sbin/ethtool -K ens1f1 tx on'''
# Interface LAN

source /etc/network/interfaces.d/*

{{Nota|Nesse arquivo, as configurações de offloading para ens1f0 e ens1f1 são aplicadas usando os comandos ethtool na seção post-up. Isso garante que as configurações de offloading sejam aplicadas cada vez que as interfaces são ativadas.}}

Após fazer essas alterações, reinicie as interfaces de rede para aplicar as novas configurações:

ifdown vmbr0 && ifup vmbr0
ifdown vmbr1 && ifup vmbr1

== Ajustes no Kernel ==

'''vm.swappiness''': Controla a tendência do kernel de trocar processos da memória RAM para o swap. Valores mais baixos (por exemplo, 10) reduzem a utilização de swap e mantêm mais dados na memória RAM. Para servidores, um valor entre 10 e 20 é geralmente recomendado.

'''vm.dirty_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos (dados que precisam ser escritos no disco) antes que o kernel comece a forçar a gravação no disco. Um valor de 10 significa que quando 10% da memória está suja, o kernel começa a escrever os dados no disco.

'''vm.dirty_background_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos antes que o kernel comece a escrever esses dados no disco em segundo plano. Um valor de 5 significa que quando 5% da memória está suja, o kernel começa a gravar os dados no disco em segundo plano.

'''vm.min_free_kbytes''': Define a quantidade mínima de memória que o kernel deve tentar manter livre. Ajustar isso pode ajudar a evitar que o sistema fique sem memória disponível para tarefas críticas.

'''vm.overcommit_memory''' e '''vm.overcommit_ratio''': Controlam como o kernel lida com a alocação de memória que excede a memória física disponível. Ajustar esses parâmetros pode ajudar a evitar que o sistema fique sem memória.

'''Hugepages''': são páginas de memória grandes que podem ser usadas para melhorar o desempenho de aplicativos que fazem uso intensivo de memória, como bancos de dados e servidores de virtualização. As páginas de memória padrão no Linux têm 4KB, enquanto as hugepages têm 2MB ou mais, dependendo da arquitetura. Usar hugepages pode reduzir a sobrecarga de gerenciamento de memória e melhorar a performance de I/O de memória.

'''net.core.rmem_max''': Define o tamanho máximo do buffer de recepção (receiving buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para recepção em um socket de rede. Um valor maior permite que o sistema bufferize mais dados recebidos, o que pode ser útil em redes de alta velocidade para evitar perda de pacotes e melhorar o desempenho de transferência de dados.

'''net.core.wmem_max''': Define o tamanho máximo do buffer de transmissão (sending buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para envio em um socket de rede. Um valor maior permite que o sistema bufferize mais dados a serem enviados, o que pode ser útil em redes de alta velocidade para melhorar a taxa de transferência de dados.

'''net.ipv4.tcp_rmem''': Define os valores mínimos, padrão e máximos do buffer de recepção para conexões TCP. O primeiro valor (4096) garante que o buffer de recepção nunca será menor que 4KB, o segundo valor (87380) é o tamanho padrão do buffer de recepção, o terceiro valor (16777216) permite que o buffer de recepção possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_wmem''': Define os valores mínimos, padrão e máximos do buffer de transmissão para conexões TCP. O primeiro valor (4096) garante que o buffer de transmissão nunca será menor que 4KB, o segundo valor (65536) é o tamanho padrão do buffer de transmissão, o terceiro valor (16777216) permite que o buffer de transmissão possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_window_scaling''': Habilita o uso de escala de janela TCP para conexões TCP. A escala de janela TCP é uma opção que permite aumentar o tamanho da janela TCP além do limite padrão de 64KB. Isso é feito utilizando um fator de escala que pode aumentar significativamente o tamanho da janela, permitindo maiores taxas de transferência em redes de alta latência e alta largura de banda.
Configurar este parâmetro como '''1''' habilita a escala de janela TCP, permitindo que o sistema aproveite melhor a largura de banda disponível em redes de alta velocidade.

nano /etc/sysctl.conf

#### Otimização Proxmox
vm.swappiness=10
vm.dirty_ratio=10
vm.dirty_background_ratio=5
vm.min_free_kbytes=65536
vm.overcommit_memory=1
vm.overcommit_ratio=50
vm.nr_hugepages=2048
net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_window_scaling=1

Aplicar com:

sysctl -p

{{Nota| Recomendável reiniciar o servidor para uma aplicabilidade correta.}}

Verificar novas otimizações em: [[Tuning_e_Hardening_-_Host]]

== Ajustes para SSD ==

* Pós-instalação: Aumentando a durabilidade dos SSDs NVMe

Reduzir escrita de logs desnecessários

* Editar o rsyslog e comente a linha (para ter maior controle e armazenamento é recomendado a criação de um servidor de logs como Graylog/Rsyslog)
nano /etc/rsyslog.conf

#module(load="imklog" permitnonkernelfacility="on")

Restart no serviço de log
systemctl restart rsyslog

Ativar journald com RAM e compressão

mkdir -p /var/log/journal
sed -i 's/#Storage=.*/Storage=volatile/' /etc/systemd/journald.conf
sed -i 's/#Compress=.*/Compress=yes/' /etc/systemd/journald.conf

Restart no serviço
systemctl restart systemd-journald

Ativar TRIM automaticamente (TRIM é importante para manter o desempenho e durabilidade do SSD)

systemctl enable fstrim.timer
systemctl start fstrim.timer

Evitar escrita excessiva em /tmp e /var/tmp (assim monta como tmp em memória RAM)

echo -e "tmpfs /tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab
echo -e "tmpfs /var/tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab

ZFS ARC tuning: Se tiver muita RAM, limitar uso da ZFS ARC melhora performance de VMs:
echo "options zfs zfs_arc_max=4294967296" >> /etc/modprobe.d/zfs.conf # 4 GB

Garanta que o sistema sempre “flushe” os dados antes de desligar (ajuste)
systemctl edit systemd-logind.service

[Service]
TimeoutStopSec=60s

Veja se agora tem o trecho abaixo, se não tiver, add:

nano /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s

Caso não seja possível editar o trecho acima, dá para fazer manualmente

mkdir -p /etc/systemd/system/systemd-logind.service.d
cat <<EOF > /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s
EOF

Forçar o restart através do daemon
systemctl daemon-reexec

Ajustar systemd-journald para reduzir escrita e flush correto
nano /etc/systemd/journald.conf

{{Nota|Se quer realmente tudo em RAM Use '''Storage volatile''' e remova '''SystemMaxUse''' Se quer logs persistentes mas com limite Use '''Storage persistent''' e mantenha '''SystemMaxUse'''}}

Storage=volatile
SystemMaxUse=200M
SyncIntervalSec=5m

Restart nos serviços
systemctl daemon-reload
systemctl restart systemd-logind
systemctl restart systemd-journald

Verificar se aplicou:
systemctl show systemd-logind.service | grep TimeoutStopSec
systemctl cat systemd-logind.service

👉 Esse ajuste dá mais tempo para o systemd encerrar processos no desligamento, evitando desligamento abrupto de serviços que poderia gerar unsafe shutdown no NVMe.

Montagem de discos com opções seguras
No /etc/fstab, adicione noatime para reduzir escritas, mas mantenha barrier/journal habilitados (não use nobarrier nem data=writeback). Exemplo para ext4:

/dev/nvme0n1p3 / ext4 defaults,noatime 0 1

Otimizações no Proxmox

2026-03-06T12:08:41Z

Diegocosta: /* Comandos úteis */

=== Sobre ===
Olá! Visitante, reunimos aqui, informações sobre como realizar otimizações no sistema para que o Proxmox tenha mais performance.

Fontes: https://pve.proxmox.com/pve-docs/

== Conceitos ==

Para otimizar o Proxmox para ter maior performance no hardware, você pode seguir várias práticas recomendadas e ajustes. Aqui estão algumas dicas:

{{Nota|Tenha um Hardware Compatível e Adequado }}

'''CPU:''' Utilize processadores com suporte a virtualização ('''Intel VT-x''' ou '''AMD-V''').

'''Memória RAM:''' Certifique-se de ter memória suficiente para suportar suas VMs. Utilize memória RAM com '''ECC''' (Error-Correcting Code) para maior confiabilidade.

'''Armazenamento:''' Utilize discos '''SSD''' ou '''NVMe''' para armazenamento de VMs, já que são muito mais rápidos que HDDs tradicionais.

'''Rede:''' Configure placas de rede de alta performance ('''10GbE''' ou superior) e use '''LACP''' (Link Aggregation Control Protocol) para aumentar a largura de banda e redundância.

== Comandos úteis ==

Alterar a senha de compartilhamento CIFS

<pre>
pvesm set NOME-ID --password
</pre>

{{Nota| Este comando altera a senha de um compartilhamento CIFS já mapeados como storage no proxmox. }}

=== Configuração do Proxmox ===

'''Kernel:''' Utilize a versão mais recente do kernel do Proxmox para aproveitar as últimas melhorias e correções de segurança.

'''Cgroups''' e '''NUMA''': Habilite '''cgroups''' e configure '''NUMA''' (Non-Uniform Memory Access) corretamente, especialmente em sistemas com múltiplas CPUs.

'''I/O Threads''': Habilite e configure I/O threads nas VMs para melhorar o desempenho de disco.

=== Armazenamento ===
'''ZFS''': Se utilizar ZFS, ajuste os parâmetros de memória ARC e considere usar SSDs para cache (ZIL e L2ARC).

'''LVM''': Use LVM sobre discos rápidos (preferencialmente SSDs) e configure o thin provisioning para economizar espaço.

=== Configuração das VMs ===

'''Virtio Drivers''': Utilize drivers Virtio para disco e rede nas VMs para melhor performance.

'''Recursos Alocados:''' Evite superprovisionar CPU e memória. Alocar mais recursos do que o disponível no host pode degradar a performance.

'''Ballooning''': Habilite o ballooning para gerenciar dinamicamente a memória entre as VMs.

'''CPU Pinning''': Configure o pinning de CPU para garantir que certas VMs utilizem CPUs específicas, reduzindo a latência.

=== Rede ===
'''Bridged Networking''': Utilize a configuração de bridge networking para reduzir a latência e aumentar a performance de rede.

'''Offloading''': Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU.

=== Monitoramento e Ajustes Contínuos ===

'''Monitoramento''': Utilize ferramentas como htop, iotop, vmstat e o monitoramento integrado do Proxmox para observar o uso de recursos e identificar gargalos.

'''Ajustes''': Baseado nos dados de monitoramento, ajuste a configuração das VMs e do host para otimizar a performance.

=== Backup e Manutenção ===

'''Snapshots''' e '''Backups''': Utilize snapshots com moderação, pois podem impactar na performance. Configure backups regulares sem afetar a performance durante horários de pico.

'''Atualizações''': Mantenha o Proxmox e os sistemas das VMs sempre atualizados com as últimas versões e patches de segurança.
Seguindo essas práticas, você deve conseguir extrair o máximo de performance do seu ambiente Proxmox.

== Ajustes nas Interfaces de Rede ==

Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU, no Proxmox, as opções de offloading de rede '''não''' são configuradas diretamente através da interface web do Proxmox. Em vez disso, você precisa '''configurá-las manualmente no sistema operacional subjacente (Debian)''' utilizando ferramentas de rede como '''ethtool'''.

{{Nota| O descarregamento de segmentação (TSO) é uma técnica de otimização que reduz a sobrecarga da CPU em operações de rede relacionadas a TCP/IP. Com o TSO ativado, um controlador de Internet de rede (NIC) divide grandes pedaços de dados que viajam por uma rede em segmentos TCP menores. Sem o TSO, a segmentação é realizada pela CPU, o que gera um overhead. TSO também é conhecido como LSO (Large Segment Offload).}}

{{Nota| Generic Segmentation Offload (GSO) é uma implementação de software amplamente usada do TCP Segmentation Offload (TSO), que reduz a sobrecarga de processamento por pacote. Assim como o TSO, o GSO ganha desempenho ao permitir que aplicativos de camada superior processem um número menor de pacotes grandes (por exemplo, tamanho de MTU de 64 KB), em vez de processar um número maior de pacotes pequenos (por exemplo, tamanho de MTU de 1500 B), reduzindo assim a sobrecarga por pacote. }}

{{Nota| Generic Receive Offload (GRO) é uma técnica de offloading baseada em SW amplamente usada para reduzir as sobrecargas de processamento por pacote. Ao remontar pacotes pequenos em pacotes maiores, o GRO permite que os aplicativos processem menos pacotes grandes diretamente, reduzindo assim o número de pacotes a serem processados. Para beneficiar aplicativos baseados em DPDK, como o Open vSwitch, o DPDK também fornece sua própria implementação de GRO. No DPDK, o GRO é implementado como uma biblioteca autônoma. Os aplicativos usam explicitamente a biblioteca GRO para remontar pacotes. }}

{{Nota| TCP Checksum Offload (IPv4 and IPv6),esta configuração permite que o adaptador verifique o checksum TCP de pacotes de entrada/saída (RX/TX) e calcule o checksum TCP de pacotes de entrada e saída. Este recurso melhora o desempenho de recepção e transmissão e reduz a utilização da CPU. Com o Offloading desativado, o sistema operacional verifica a soma de verificação do TCP. Com o Offloading ativado, o adaptador conclui a verificação do sistema operacional. }}

Edite o arquivo /etc/network/interfaces ou crie um script para ser executado na inicialização. Adicione as seguintes linhas ao arquivo /etc/network/interfaces (substitua '''ens1f0''' e '''ens1f1''' pelos nomes das suas interfaces de redes):

nano /etc/network/interfaces

auto lo
iface lo inet loopback

iface ens1f0 inet manual
iface ens1f1 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge-ports ens1f0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f0 tso on'''
'''post-up /sbin/ethtool -K ens1f0 gso on'''
'''post-up /sbin/ethtool -K ens1f0 gro on'''
'''post-up /sbin/ethtool -K ens1f0 rx on'''
'''post-up /sbin/ethtool -K ens1f0 tx on'''

auto vmbr0.800
iface vmbr0.800 inet static
address 10.10.80.101/24
gateway 10.10.80.1
# Interface de Gerência

auto vmbr1
iface vmbr1 inet manual
bridge-ports ens1f1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f1 tso on'''
'''post-up /sbin/ethtool -K ens1f1 gso on'''
'''post-up /sbin/ethtool -K ens1f1 gro on'''
'''post-up /sbin/ethtool -K ens1f1 rx on'''
'''post-up /sbin/ethtool -K ens1f1 tx on'''
# Interface LAN

source /etc/network/interfaces.d/*

{{Nota|Nesse arquivo, as configurações de offloading para ens1f0 e ens1f1 são aplicadas usando os comandos ethtool na seção post-up. Isso garante que as configurações de offloading sejam aplicadas cada vez que as interfaces são ativadas.}}

Após fazer essas alterações, reinicie as interfaces de rede para aplicar as novas configurações:

ifdown vmbr0 && ifup vmbr0
ifdown vmbr1 && ifup vmbr1

== Ajustes no Kernel ==

'''vm.swappiness''': Controla a tendência do kernel de trocar processos da memória RAM para o swap. Valores mais baixos (por exemplo, 10) reduzem a utilização de swap e mantêm mais dados na memória RAM. Para servidores, um valor entre 10 e 20 é geralmente recomendado.

'''vm.dirty_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos (dados que precisam ser escritos no disco) antes que o kernel comece a forçar a gravação no disco. Um valor de 10 significa que quando 10% da memória está suja, o kernel começa a escrever os dados no disco.

'''vm.dirty_background_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos antes que o kernel comece a escrever esses dados no disco em segundo plano. Um valor de 5 significa que quando 5% da memória está suja, o kernel começa a gravar os dados no disco em segundo plano.

'''vm.min_free_kbytes''': Define a quantidade mínima de memória que o kernel deve tentar manter livre. Ajustar isso pode ajudar a evitar que o sistema fique sem memória disponível para tarefas críticas.

'''vm.overcommit_memory''' e '''vm.overcommit_ratio''': Controlam como o kernel lida com a alocação de memória que excede a memória física disponível. Ajustar esses parâmetros pode ajudar a evitar que o sistema fique sem memória.

'''Hugepages''': são páginas de memória grandes que podem ser usadas para melhorar o desempenho de aplicativos que fazem uso intensivo de memória, como bancos de dados e servidores de virtualização. As páginas de memória padrão no Linux têm 4KB, enquanto as hugepages têm 2MB ou mais, dependendo da arquitetura. Usar hugepages pode reduzir a sobrecarga de gerenciamento de memória e melhorar a performance de I/O de memória.

'''net.core.rmem_max''': Define o tamanho máximo do buffer de recepção (receiving buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para recepção em um socket de rede. Um valor maior permite que o sistema bufferize mais dados recebidos, o que pode ser útil em redes de alta velocidade para evitar perda de pacotes e melhorar o desempenho de transferência de dados.

'''net.core.wmem_max''': Define o tamanho máximo do buffer de transmissão (sending buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para envio em um socket de rede. Um valor maior permite que o sistema bufferize mais dados a serem enviados, o que pode ser útil em redes de alta velocidade para melhorar a taxa de transferência de dados.

'''net.ipv4.tcp_rmem''': Define os valores mínimos, padrão e máximos do buffer de recepção para conexões TCP. O primeiro valor (4096) garante que o buffer de recepção nunca será menor que 4KB, o segundo valor (87380) é o tamanho padrão do buffer de recepção, o terceiro valor (16777216) permite que o buffer de recepção possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_wmem''': Define os valores mínimos, padrão e máximos do buffer de transmissão para conexões TCP. O primeiro valor (4096) garante que o buffer de transmissão nunca será menor que 4KB, o segundo valor (65536) é o tamanho padrão do buffer de transmissão, o terceiro valor (16777216) permite que o buffer de transmissão possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_window_scaling''': Habilita o uso de escala de janela TCP para conexões TCP. A escala de janela TCP é uma opção que permite aumentar o tamanho da janela TCP além do limite padrão de 64KB. Isso é feito utilizando um fator de escala que pode aumentar significativamente o tamanho da janela, permitindo maiores taxas de transferência em redes de alta latência e alta largura de banda.
Configurar este parâmetro como '''1''' habilita a escala de janela TCP, permitindo que o sistema aproveite melhor a largura de banda disponível em redes de alta velocidade.

nano /etc/sysctl.conf

#### Otimização Proxmox
vm.swappiness=10
vm.dirty_ratio=10
vm.dirty_background_ratio=5
vm.min_free_kbytes=65536
vm.overcommit_memory=1
vm.overcommit_ratio=50
vm.nr_hugepages=2048
net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_window_scaling=1

Aplicar com:

sysctl -p

{{Nota| Recomendável reiniciar o servidor para uma aplicabilidade correta.}}

== Ajustes para SSD ==

* Pós-instalação: Aumentando a durabilidade dos SSDs NVMe

Reduzir escrita de logs desnecessários

* Editar o rsyslog e comente a linha (para ter maior controle e armazenamento é recomendado a criação de um servidor de logs como Graylog/Rsyslog)
nano /etc/rsyslog.conf

#module(load="imklog" permitnonkernelfacility="on")

Restart no serviço de log
systemctl restart rsyslog

Ativar journald com RAM e compressão

mkdir -p /var/log/journal
sed -i 's/#Storage=.*/Storage=volatile/' /etc/systemd/journald.conf
sed -i 's/#Compress=.*/Compress=yes/' /etc/systemd/journald.conf

Restart no serviço
systemctl restart systemd-journald

Ativar TRIM automaticamente (TRIM é importante para manter o desempenho e durabilidade do SSD)

systemctl enable fstrim.timer
systemctl start fstrim.timer

Evitar escrita excessiva em /tmp e /var/tmp (assim monta como tmp em memória RAM)

echo -e "tmpfs /tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab
echo -e "tmpfs /var/tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab

ZFS ARC tuning: Se tiver muita RAM, limitar uso da ZFS ARC melhora performance de VMs:
echo "options zfs zfs_arc_max=4294967296" >> /etc/modprobe.d/zfs.conf # 4 GB

Garanta que o sistema sempre “flushe” os dados antes de desligar (ajuste)
systemctl edit systemd-logind.service

[Service]
TimeoutStopSec=60s

Veja se agora tem o trecho abaixo, se não tiver, add:

nano /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s

Caso não seja possível editar o trecho acima, dá para fazer manualmente

mkdir -p /etc/systemd/system/systemd-logind.service.d
cat <<EOF > /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s
EOF

Forçar o restart através do daemon
systemctl daemon-reexec

Ajustar systemd-journald para reduzir escrita e flush correto
nano /etc/systemd/journald.conf

{{Nota|Se quer realmente tudo em RAM Use '''Storage volatile''' e remova '''SystemMaxUse''' Se quer logs persistentes mas com limite Use '''Storage persistent''' e mantenha '''SystemMaxUse'''}}

Storage=volatile
SystemMaxUse=200M
SyncIntervalSec=5m

Restart nos serviços
systemctl daemon-reload
systemctl restart systemd-logind
systemctl restart systemd-journald

Verificar se aplicou:
systemctl show systemd-logind.service | grep TimeoutStopSec
systemctl cat systemd-logind.service

👉 Esse ajuste dá mais tempo para o systemd encerrar processos no desligamento, evitando desligamento abrupto de serviços que poderia gerar unsafe shutdown no NVMe.

Montagem de discos com opções seguras
No /etc/fstab, adicione noatime para reduzir escritas, mas mantenha barrier/journal habilitados (não use nobarrier nem data=writeback). Exemplo para ext4:

/dev/nvme0n1p3 / ext4 defaults,noatime 0 1

Otimizações no Proxmox

2026-03-06T12:08:28Z

Diegocosta:

=== Sobre ===
Olá! Visitante, reunimos aqui, informações sobre como realizar otimizações no sistema para que o Proxmox tenha mais performance.

Fontes: https://pve.proxmox.com/pve-docs/

== Conceitos ==

Para otimizar o Proxmox para ter maior performance no hardware, você pode seguir várias práticas recomendadas e ajustes. Aqui estão algumas dicas:

{{Nota|Tenha um Hardware Compatível e Adequado }}

'''CPU:''' Utilize processadores com suporte a virtualização ('''Intel VT-x''' ou '''AMD-V''').

'''Memória RAM:''' Certifique-se de ter memória suficiente para suportar suas VMs. Utilize memória RAM com '''ECC''' (Error-Correcting Code) para maior confiabilidade.

'''Armazenamento:''' Utilize discos '''SSD''' ou '''NVMe''' para armazenamento de VMs, já que são muito mais rápidos que HDDs tradicionais.

'''Rede:''' Configure placas de rede de alta performance ('''10GbE''' ou superior) e use '''LACP''' (Link Aggregation Control Protocol) para aumentar a largura de banda e redundância.

== Comandos úteis ==

Alterar a senha de compartilhamento CIFS

<pre>

pvesm set NOME-ID --password

</pre>

{{Nota| Este comando altera a senha de um compartilhamento CIFS já mapeados como storage no proxmox. }}

=== Configuração do Proxmox ===

'''Kernel:''' Utilize a versão mais recente do kernel do Proxmox para aproveitar as últimas melhorias e correções de segurança.

'''Cgroups''' e '''NUMA''': Habilite '''cgroups''' e configure '''NUMA''' (Non-Uniform Memory Access) corretamente, especialmente em sistemas com múltiplas CPUs.

'''I/O Threads''': Habilite e configure I/O threads nas VMs para melhorar o desempenho de disco.

=== Armazenamento ===
'''ZFS''': Se utilizar ZFS, ajuste os parâmetros de memória ARC e considere usar SSDs para cache (ZIL e L2ARC).

'''LVM''': Use LVM sobre discos rápidos (preferencialmente SSDs) e configure o thin provisioning para economizar espaço.

=== Configuração das VMs ===

'''Virtio Drivers''': Utilize drivers Virtio para disco e rede nas VMs para melhor performance.

'''Recursos Alocados:''' Evite superprovisionar CPU e memória. Alocar mais recursos do que o disponível no host pode degradar a performance.

'''Ballooning''': Habilite o ballooning para gerenciar dinamicamente a memória entre as VMs.

'''CPU Pinning''': Configure o pinning de CPU para garantir que certas VMs utilizem CPUs específicas, reduzindo a latência.

=== Rede ===
'''Bridged Networking''': Utilize a configuração de bridge networking para reduzir a latência e aumentar a performance de rede.

'''Offloading''': Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU.

=== Monitoramento e Ajustes Contínuos ===

'''Monitoramento''': Utilize ferramentas como htop, iotop, vmstat e o monitoramento integrado do Proxmox para observar o uso de recursos e identificar gargalos.

'''Ajustes''': Baseado nos dados de monitoramento, ajuste a configuração das VMs e do host para otimizar a performance.

=== Backup e Manutenção ===

'''Snapshots''' e '''Backups''': Utilize snapshots com moderação, pois podem impactar na performance. Configure backups regulares sem afetar a performance durante horários de pico.

'''Atualizações''': Mantenha o Proxmox e os sistemas das VMs sempre atualizados com as últimas versões e patches de segurança.
Seguindo essas práticas, você deve conseguir extrair o máximo de performance do seu ambiente Proxmox.

== Ajustes nas Interfaces de Rede ==

Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU, no Proxmox, as opções de offloading de rede '''não''' são configuradas diretamente através da interface web do Proxmox. Em vez disso, você precisa '''configurá-las manualmente no sistema operacional subjacente (Debian)''' utilizando ferramentas de rede como '''ethtool'''.

{{Nota| O descarregamento de segmentação (TSO) é uma técnica de otimização que reduz a sobrecarga da CPU em operações de rede relacionadas a TCP/IP. Com o TSO ativado, um controlador de Internet de rede (NIC) divide grandes pedaços de dados que viajam por uma rede em segmentos TCP menores. Sem o TSO, a segmentação é realizada pela CPU, o que gera um overhead. TSO também é conhecido como LSO (Large Segment Offload).}}

{{Nota| Generic Segmentation Offload (GSO) é uma implementação de software amplamente usada do TCP Segmentation Offload (TSO), que reduz a sobrecarga de processamento por pacote. Assim como o TSO, o GSO ganha desempenho ao permitir que aplicativos de camada superior processem um número menor de pacotes grandes (por exemplo, tamanho de MTU de 64 KB), em vez de processar um número maior de pacotes pequenos (por exemplo, tamanho de MTU de 1500 B), reduzindo assim a sobrecarga por pacote. }}

{{Nota| Generic Receive Offload (GRO) é uma técnica de offloading baseada em SW amplamente usada para reduzir as sobrecargas de processamento por pacote. Ao remontar pacotes pequenos em pacotes maiores, o GRO permite que os aplicativos processem menos pacotes grandes diretamente, reduzindo assim o número de pacotes a serem processados. Para beneficiar aplicativos baseados em DPDK, como o Open vSwitch, o DPDK também fornece sua própria implementação de GRO. No DPDK, o GRO é implementado como uma biblioteca autônoma. Os aplicativos usam explicitamente a biblioteca GRO para remontar pacotes. }}

{{Nota| TCP Checksum Offload (IPv4 and IPv6),esta configuração permite que o adaptador verifique o checksum TCP de pacotes de entrada/saída (RX/TX) e calcule o checksum TCP de pacotes de entrada e saída. Este recurso melhora o desempenho de recepção e transmissão e reduz a utilização da CPU. Com o Offloading desativado, o sistema operacional verifica a soma de verificação do TCP. Com o Offloading ativado, o adaptador conclui a verificação do sistema operacional. }}

Edite o arquivo /etc/network/interfaces ou crie um script para ser executado na inicialização. Adicione as seguintes linhas ao arquivo /etc/network/interfaces (substitua '''ens1f0''' e '''ens1f1''' pelos nomes das suas interfaces de redes):

nano /etc/network/interfaces

auto lo
iface lo inet loopback

iface ens1f0 inet manual
iface ens1f1 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge-ports ens1f0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f0 tso on'''
'''post-up /sbin/ethtool -K ens1f0 gso on'''
'''post-up /sbin/ethtool -K ens1f0 gro on'''
'''post-up /sbin/ethtool -K ens1f0 rx on'''
'''post-up /sbin/ethtool -K ens1f0 tx on'''

auto vmbr0.800
iface vmbr0.800 inet static
address 10.10.80.101/24
gateway 10.10.80.1
# Interface de Gerência

auto vmbr1
iface vmbr1 inet manual
bridge-ports ens1f1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f1 tso on'''
'''post-up /sbin/ethtool -K ens1f1 gso on'''
'''post-up /sbin/ethtool -K ens1f1 gro on'''
'''post-up /sbin/ethtool -K ens1f1 rx on'''
'''post-up /sbin/ethtool -K ens1f1 tx on'''
# Interface LAN

source /etc/network/interfaces.d/*

{{Nota|Nesse arquivo, as configurações de offloading para ens1f0 e ens1f1 são aplicadas usando os comandos ethtool na seção post-up. Isso garante que as configurações de offloading sejam aplicadas cada vez que as interfaces são ativadas.}}

Após fazer essas alterações, reinicie as interfaces de rede para aplicar as novas configurações:

ifdown vmbr0 && ifup vmbr0
ifdown vmbr1 && ifup vmbr1

== Ajustes no Kernel ==

'''vm.swappiness''': Controla a tendência do kernel de trocar processos da memória RAM para o swap. Valores mais baixos (por exemplo, 10) reduzem a utilização de swap e mantêm mais dados na memória RAM. Para servidores, um valor entre 10 e 20 é geralmente recomendado.

'''vm.dirty_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos (dados que precisam ser escritos no disco) antes que o kernel comece a forçar a gravação no disco. Um valor de 10 significa que quando 10% da memória está suja, o kernel começa a escrever os dados no disco.

'''vm.dirty_background_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos antes que o kernel comece a escrever esses dados no disco em segundo plano. Um valor de 5 significa que quando 5% da memória está suja, o kernel começa a gravar os dados no disco em segundo plano.

'''vm.min_free_kbytes''': Define a quantidade mínima de memória que o kernel deve tentar manter livre. Ajustar isso pode ajudar a evitar que o sistema fique sem memória disponível para tarefas críticas.

'''vm.overcommit_memory''' e '''vm.overcommit_ratio''': Controlam como o kernel lida com a alocação de memória que excede a memória física disponível. Ajustar esses parâmetros pode ajudar a evitar que o sistema fique sem memória.

'''Hugepages''': são páginas de memória grandes que podem ser usadas para melhorar o desempenho de aplicativos que fazem uso intensivo de memória, como bancos de dados e servidores de virtualização. As páginas de memória padrão no Linux têm 4KB, enquanto as hugepages têm 2MB ou mais, dependendo da arquitetura. Usar hugepages pode reduzir a sobrecarga de gerenciamento de memória e melhorar a performance de I/O de memória.

'''net.core.rmem_max''': Define o tamanho máximo do buffer de recepção (receiving buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para recepção em um socket de rede. Um valor maior permite que o sistema bufferize mais dados recebidos, o que pode ser útil em redes de alta velocidade para evitar perda de pacotes e melhorar o desempenho de transferência de dados.

'''net.core.wmem_max''': Define o tamanho máximo do buffer de transmissão (sending buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para envio em um socket de rede. Um valor maior permite que o sistema bufferize mais dados a serem enviados, o que pode ser útil em redes de alta velocidade para melhorar a taxa de transferência de dados.

'''net.ipv4.tcp_rmem''': Define os valores mínimos, padrão e máximos do buffer de recepção para conexões TCP. O primeiro valor (4096) garante que o buffer de recepção nunca será menor que 4KB, o segundo valor (87380) é o tamanho padrão do buffer de recepção, o terceiro valor (16777216) permite que o buffer de recepção possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_wmem''': Define os valores mínimos, padrão e máximos do buffer de transmissão para conexões TCP. O primeiro valor (4096) garante que o buffer de transmissão nunca será menor que 4KB, o segundo valor (65536) é o tamanho padrão do buffer de transmissão, o terceiro valor (16777216) permite que o buffer de transmissão possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_window_scaling''': Habilita o uso de escala de janela TCP para conexões TCP. A escala de janela TCP é uma opção que permite aumentar o tamanho da janela TCP além do limite padrão de 64KB. Isso é feito utilizando um fator de escala que pode aumentar significativamente o tamanho da janela, permitindo maiores taxas de transferência em redes de alta latência e alta largura de banda.
Configurar este parâmetro como '''1''' habilita a escala de janela TCP, permitindo que o sistema aproveite melhor a largura de banda disponível em redes de alta velocidade.

nano /etc/sysctl.conf

#### Otimização Proxmox
vm.swappiness=10
vm.dirty_ratio=10
vm.dirty_background_ratio=5
vm.min_free_kbytes=65536
vm.overcommit_memory=1
vm.overcommit_ratio=50
vm.nr_hugepages=2048
net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_window_scaling=1

Aplicar com:

sysctl -p

{{Nota| Recomendável reiniciar o servidor para uma aplicabilidade correta.}}

== Ajustes para SSD ==

* Pós-instalação: Aumentando a durabilidade dos SSDs NVMe

Reduzir escrita de logs desnecessários

* Editar o rsyslog e comente a linha (para ter maior controle e armazenamento é recomendado a criação de um servidor de logs como Graylog/Rsyslog)
nano /etc/rsyslog.conf

#module(load="imklog" permitnonkernelfacility="on")

Restart no serviço de log
systemctl restart rsyslog

Ativar journald com RAM e compressão

mkdir -p /var/log/journal
sed -i 's/#Storage=.*/Storage=volatile/' /etc/systemd/journald.conf
sed -i 's/#Compress=.*/Compress=yes/' /etc/systemd/journald.conf

Restart no serviço
systemctl restart systemd-journald

Ativar TRIM automaticamente (TRIM é importante para manter o desempenho e durabilidade do SSD)

systemctl enable fstrim.timer
systemctl start fstrim.timer

Evitar escrita excessiva em /tmp e /var/tmp (assim monta como tmp em memória RAM)

echo -e "tmpfs /tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab
echo -e "tmpfs /var/tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab

ZFS ARC tuning: Se tiver muita RAM, limitar uso da ZFS ARC melhora performance de VMs:
echo "options zfs zfs_arc_max=4294967296" >> /etc/modprobe.d/zfs.conf # 4 GB

Garanta que o sistema sempre “flushe” os dados antes de desligar (ajuste)
systemctl edit systemd-logind.service

[Service]
TimeoutStopSec=60s

Veja se agora tem o trecho abaixo, se não tiver, add:

nano /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s

Caso não seja possível editar o trecho acima, dá para fazer manualmente

mkdir -p /etc/systemd/system/systemd-logind.service.d
cat <<EOF > /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s
EOF

Forçar o restart através do daemon
systemctl daemon-reexec

Ajustar systemd-journald para reduzir escrita e flush correto
nano /etc/systemd/journald.conf

{{Nota|Se quer realmente tudo em RAM Use '''Storage volatile''' e remova '''SystemMaxUse''' Se quer logs persistentes mas com limite Use '''Storage persistent''' e mantenha '''SystemMaxUse'''}}

Storage=volatile
SystemMaxUse=200M
SyncIntervalSec=5m

Restart nos serviços
systemctl daemon-reload
systemctl restart systemd-logind
systemctl restart systemd-journald

Verificar se aplicou:
systemctl show systemd-logind.service | grep TimeoutStopSec
systemctl cat systemd-logind.service

👉 Esse ajuste dá mais tempo para o systemd encerrar processos no desligamento, evitando desligamento abrupto de serviços que poderia gerar unsafe shutdown no NVMe.

Montagem de discos com opções seguras
No /etc/fstab, adicione noatime para reduzir escritas, mas mantenha barrier/journal habilitados (não use nobarrier nem data=writeback). Exemplo para ext4:

/dev/nvme0n1p3 / ext4 defaults,noatime 0 1

Otimizações no Proxmox

2026-03-06T12:07:32Z

Diegocosta: /* Sobre */

=== Sobre ===
Olá! Visitante, reunimos aqui, informações sobre como realizar otimizações no sistema para que o Proxmox tenha mais performance.

Fontes: https://pve.proxmox.com/pve-docs/

== Comandos úteis ==

Alterar a senha de compartilhamento CIFS

<pre>

pvesm set NOME-ID --password

</pre>

{{Nota|Este comando altera a senha de um compartilhamento CIFS já mapeados como storage no proxmox. }}

== Conceitos ==

Para otimizar o Proxmox para ter maior performance no hardware, você pode seguir várias práticas recomendadas e ajustes. Aqui estão algumas dicas:

{{Nota|Tenha um Hardware Compatível e Adequado }}

'''CPU:''' Utilize processadores com suporte a virtualização ('''Intel VT-x''' ou '''AMD-V''').

'''Memória RAM:''' Certifique-se de ter memória suficiente para suportar suas VMs. Utilize memória RAM com '''ECC''' (Error-Correcting Code) para maior confiabilidade.

'''Armazenamento:''' Utilize discos '''SSD''' ou '''NVMe''' para armazenamento de VMs, já que são muito mais rápidos que HDDs tradicionais.

'''Rede:''' Configure placas de rede de alta performance ('''10GbE''' ou superior) e use '''LACP''' (Link Aggregation Control Protocol) para aumentar a largura de banda e redundância.

=== Configuração do Proxmox ===

'''Kernel:''' Utilize a versão mais recente do kernel do Proxmox para aproveitar as últimas melhorias e correções de segurança.

'''Cgroups''' e '''NUMA''': Habilite '''cgroups''' e configure '''NUMA''' (Non-Uniform Memory Access) corretamente, especialmente em sistemas com múltiplas CPUs.

'''I/O Threads''': Habilite e configure I/O threads nas VMs para melhorar o desempenho de disco.

=== Armazenamento ===
'''ZFS''': Se utilizar ZFS, ajuste os parâmetros de memória ARC e considere usar SSDs para cache (ZIL e L2ARC).

'''LVM''': Use LVM sobre discos rápidos (preferencialmente SSDs) e configure o thin provisioning para economizar espaço.

=== Configuração das VMs ===

'''Virtio Drivers''': Utilize drivers Virtio para disco e rede nas VMs para melhor performance.

'''Recursos Alocados:''' Evite superprovisionar CPU e memória. Alocar mais recursos do que o disponível no host pode degradar a performance.

'''Ballooning''': Habilite o ballooning para gerenciar dinamicamente a memória entre as VMs.

'''CPU Pinning''': Configure o pinning de CPU para garantir que certas VMs utilizem CPUs específicas, reduzindo a latência.

=== Rede ===
'''Bridged Networking''': Utilize a configuração de bridge networking para reduzir a latência e aumentar a performance de rede.

'''Offloading''': Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU.

=== Monitoramento e Ajustes Contínuos ===

'''Monitoramento''': Utilize ferramentas como htop, iotop, vmstat e o monitoramento integrado do Proxmox para observar o uso de recursos e identificar gargalos.

'''Ajustes''': Baseado nos dados de monitoramento, ajuste a configuração das VMs e do host para otimizar a performance.

=== Backup e Manutenção ===

'''Snapshots''' e '''Backups''': Utilize snapshots com moderação, pois podem impactar na performance. Configure backups regulares sem afetar a performance durante horários de pico.

'''Atualizações''': Mantenha o Proxmox e os sistemas das VMs sempre atualizados com as últimas versões e patches de segurança.
Seguindo essas práticas, você deve conseguir extrair o máximo de performance do seu ambiente Proxmox.

== Ajustes nas Interfaces de Rede ==

Habilite funções de offloading na placa de rede, como checksum e segmentation offloading, para reduzir a carga na CPU, no Proxmox, as opções de offloading de rede '''não''' são configuradas diretamente através da interface web do Proxmox. Em vez disso, você precisa '''configurá-las manualmente no sistema operacional subjacente (Debian)''' utilizando ferramentas de rede como '''ethtool'''.

{{Nota| O descarregamento de segmentação (TSO) é uma técnica de otimização que reduz a sobrecarga da CPU em operações de rede relacionadas a TCP/IP. Com o TSO ativado, um controlador de Internet de rede (NIC) divide grandes pedaços de dados que viajam por uma rede em segmentos TCP menores. Sem o TSO, a segmentação é realizada pela CPU, o que gera um overhead. TSO também é conhecido como LSO (Large Segment Offload).}}

{{Nota| Generic Segmentation Offload (GSO) é uma implementação de software amplamente usada do TCP Segmentation Offload (TSO), que reduz a sobrecarga de processamento por pacote. Assim como o TSO, o GSO ganha desempenho ao permitir que aplicativos de camada superior processem um número menor de pacotes grandes (por exemplo, tamanho de MTU de 64 KB), em vez de processar um número maior de pacotes pequenos (por exemplo, tamanho de MTU de 1500 B), reduzindo assim a sobrecarga por pacote. }}

{{Nota| Generic Receive Offload (GRO) é uma técnica de offloading baseada em SW amplamente usada para reduzir as sobrecargas de processamento por pacote. Ao remontar pacotes pequenos em pacotes maiores, o GRO permite que os aplicativos processem menos pacotes grandes diretamente, reduzindo assim o número de pacotes a serem processados. Para beneficiar aplicativos baseados em DPDK, como o Open vSwitch, o DPDK também fornece sua própria implementação de GRO. No DPDK, o GRO é implementado como uma biblioteca autônoma. Os aplicativos usam explicitamente a biblioteca GRO para remontar pacotes. }}

{{Nota| TCP Checksum Offload (IPv4 and IPv6),esta configuração permite que o adaptador verifique o checksum TCP de pacotes de entrada/saída (RX/TX) e calcule o checksum TCP de pacotes de entrada e saída. Este recurso melhora o desempenho de recepção e transmissão e reduz a utilização da CPU. Com o Offloading desativado, o sistema operacional verifica a soma de verificação do TCP. Com o Offloading ativado, o adaptador conclui a verificação do sistema operacional. }}

Edite o arquivo /etc/network/interfaces ou crie um script para ser executado na inicialização. Adicione as seguintes linhas ao arquivo /etc/network/interfaces (substitua '''ens1f0''' e '''ens1f1''' pelos nomes das suas interfaces de redes):

nano /etc/network/interfaces

auto lo
iface lo inet loopback

iface ens1f0 inet manual
iface ens1f1 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge-ports ens1f0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f0 tso on'''
'''post-up /sbin/ethtool -K ens1f0 gso on'''
'''post-up /sbin/ethtool -K ens1f0 gro on'''
'''post-up /sbin/ethtool -K ens1f0 rx on'''
'''post-up /sbin/ethtool -K ens1f0 tx on'''

auto vmbr0.800
iface vmbr0.800 inet static
address 10.10.80.101/24
gateway 10.10.80.1
# Interface de Gerência

auto vmbr1
iface vmbr1 inet manual
bridge-ports ens1f1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
'''post-up /sbin/ethtool -K ens1f1 tso on'''
'''post-up /sbin/ethtool -K ens1f1 gso on'''
'''post-up /sbin/ethtool -K ens1f1 gro on'''
'''post-up /sbin/ethtool -K ens1f1 rx on'''
'''post-up /sbin/ethtool -K ens1f1 tx on'''
# Interface LAN

source /etc/network/interfaces.d/*

{{Nota|Nesse arquivo, as configurações de offloading para ens1f0 e ens1f1 são aplicadas usando os comandos ethtool na seção post-up. Isso garante que as configurações de offloading sejam aplicadas cada vez que as interfaces são ativadas.}}

Após fazer essas alterações, reinicie as interfaces de rede para aplicar as novas configurações:

ifdown vmbr0 && ifup vmbr0
ifdown vmbr1 && ifup vmbr1

== Ajustes no Kernel ==

'''vm.swappiness''': Controla a tendência do kernel de trocar processos da memória RAM para o swap. Valores mais baixos (por exemplo, 10) reduzem a utilização de swap e mantêm mais dados na memória RAM. Para servidores, um valor entre 10 e 20 é geralmente recomendado.

'''vm.dirty_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos (dados que precisam ser escritos no disco) antes que o kernel comece a forçar a gravação no disco. Um valor de 10 significa que quando 10% da memória está suja, o kernel começa a escrever os dados no disco.

'''vm.dirty_background_ratio''': Define o percentual de memória total do sistema que pode conter dados sujos antes que o kernel comece a escrever esses dados no disco em segundo plano. Um valor de 5 significa que quando 5% da memória está suja, o kernel começa a gravar os dados no disco em segundo plano.

'''vm.min_free_kbytes''': Define a quantidade mínima de memória que o kernel deve tentar manter livre. Ajustar isso pode ajudar a evitar que o sistema fique sem memória disponível para tarefas críticas.

'''vm.overcommit_memory''' e '''vm.overcommit_ratio''': Controlam como o kernel lida com a alocação de memória que excede a memória física disponível. Ajustar esses parâmetros pode ajudar a evitar que o sistema fique sem memória.

'''Hugepages''': são páginas de memória grandes que podem ser usadas para melhorar o desempenho de aplicativos que fazem uso intensivo de memória, como bancos de dados e servidores de virtualização. As páginas de memória padrão no Linux têm 4KB, enquanto as hugepages têm 2MB ou mais, dependendo da arquitetura. Usar hugepages pode reduzir a sobrecarga de gerenciamento de memória e melhorar a performance de I/O de memória.

'''net.core.rmem_max''': Define o tamanho máximo do buffer de recepção (receiving buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para recepção em um socket de rede. Um valor maior permite que o sistema bufferize mais dados recebidos, o que pode ser útil em redes de alta velocidade para evitar perda de pacotes e melhorar o desempenho de transferência de dados.

'''net.core.wmem_max''': Define o tamanho máximo do buffer de transmissão (sending buffer) de um socket em bytes. Esse valor determina o quanto de dados pode ser bufferizado para envio em um socket de rede. Um valor maior permite que o sistema bufferize mais dados a serem enviados, o que pode ser útil em redes de alta velocidade para melhorar a taxa de transferência de dados.

'''net.ipv4.tcp_rmem''': Define os valores mínimos, padrão e máximos do buffer de recepção para conexões TCP. O primeiro valor (4096) garante que o buffer de recepção nunca será menor que 4KB, o segundo valor (87380) é o tamanho padrão do buffer de recepção, o terceiro valor (16777216) permite que o buffer de recepção possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_wmem''': Define os valores mínimos, padrão e máximos do buffer de transmissão para conexões TCP. O primeiro valor (4096) garante que o buffer de transmissão nunca será menor que 4KB, o segundo valor (65536) é o tamanho padrão do buffer de transmissão, o terceiro valor (16777216) permite que o buffer de transmissão possa crescer até 16MB se necessário, dependendo da carga de rede e da quantidade de memória disponível.

'''net.ipv4.tcp_window_scaling''': Habilita o uso de escala de janela TCP para conexões TCP. A escala de janela TCP é uma opção que permite aumentar o tamanho da janela TCP além do limite padrão de 64KB. Isso é feito utilizando um fator de escala que pode aumentar significativamente o tamanho da janela, permitindo maiores taxas de transferência em redes de alta latência e alta largura de banda.
Configurar este parâmetro como '''1''' habilita a escala de janela TCP, permitindo que o sistema aproveite melhor a largura de banda disponível em redes de alta velocidade.

nano /etc/sysctl.conf

#### Otimização Proxmox
vm.swappiness=10
vm.dirty_ratio=10
vm.dirty_background_ratio=5
vm.min_free_kbytes=65536
vm.overcommit_memory=1
vm.overcommit_ratio=50
vm.nr_hugepages=2048
net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_window_scaling=1

Aplicar com:

sysctl -p

{{Nota| Recomendável reiniciar o servidor para uma aplicabilidade correta.}}

== Ajustes para SSD ==

* Pós-instalação: Aumentando a durabilidade dos SSDs NVMe

Reduzir escrita de logs desnecessários

* Editar o rsyslog e comente a linha (para ter maior controle e armazenamento é recomendado a criação de um servidor de logs como Graylog/Rsyslog)
nano /etc/rsyslog.conf

#module(load="imklog" permitnonkernelfacility="on")

Restart no serviço de log
systemctl restart rsyslog

Ativar journald com RAM e compressão

mkdir -p /var/log/journal
sed -i 's/#Storage=.*/Storage=volatile/' /etc/systemd/journald.conf
sed -i 's/#Compress=.*/Compress=yes/' /etc/systemd/journald.conf

Restart no serviço
systemctl restart systemd-journald

Ativar TRIM automaticamente (TRIM é importante para manter o desempenho e durabilidade do SSD)

systemctl enable fstrim.timer
systemctl start fstrim.timer

Evitar escrita excessiva em /tmp e /var/tmp (assim monta como tmp em memória RAM)

echo -e "tmpfs /tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab
echo -e "tmpfs /var/tmp tmpfs defaults,noatime,nosuid,nodev,mode=1777 0 0" >> /etc/fstab

ZFS ARC tuning: Se tiver muita RAM, limitar uso da ZFS ARC melhora performance de VMs:
echo "options zfs zfs_arc_max=4294967296" >> /etc/modprobe.d/zfs.conf # 4 GB

Garanta que o sistema sempre “flushe” os dados antes de desligar (ajuste)
systemctl edit systemd-logind.service

[Service]
TimeoutStopSec=60s

Veja se agora tem o trecho abaixo, se não tiver, add:

nano /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s

Caso não seja possível editar o trecho acima, dá para fazer manualmente

mkdir -p /etc/systemd/system/systemd-logind.service.d
cat <<EOF > /etc/systemd/system/systemd-logind.service.d/override.conf
[Service]
TimeoutStopSec=60s
EOF

Forçar o restart através do daemon
systemctl daemon-reexec

Ajustar systemd-journald para reduzir escrita e flush correto
nano /etc/systemd/journald.conf

{{Nota|Se quer realmente tudo em RAM Use '''Storage volatile''' e remova '''SystemMaxUse''' Se quer logs persistentes mas com limite Use '''Storage persistent''' e mantenha '''SystemMaxUse'''}}

Storage=volatile
SystemMaxUse=200M
SyncIntervalSec=5m

Restart nos serviços
systemctl daemon-reload
systemctl restart systemd-logind
systemctl restart systemd-journald

Verificar se aplicou:
systemctl show systemd-logind.service | grep TimeoutStopSec
systemctl cat systemd-logind.service

👉 Esse ajuste dá mais tempo para o systemd encerrar processos no desligamento, evitando desligamento abrupto de serviços que poderia gerar unsafe shutdown no NVMe.

Montagem de discos com opções seguras
No /etc/fstab, adicione noatime para reduzir escritas, mas mantenha barrier/journal habilitados (não use nobarrier nem data=writeback). Exemplo para ext4:

/dev/nvme0n1p3 / ext4 defaults,noatime 0 1

GLPI 11

2026-03-04T05:19:24Z

Diegocosta: /* Baixar o GLPI */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre a ferramenta GLPI 11 (Anacrônico Frances para Gestionnaire Libre de Parc Informatique ) na versão 11 ou traduzido para o Português BR ( Gerenciamento Livre do Parque de Computadores), que é uma solução web Open-source completa para ITSM (Gerenciamento de Serviços de TI). O mesmo gerência todos os seus problemas de inventário de ativos/hardwares e software e suporte ao usuário(helpdesk).

*Principais características do GLPI:

Multi Usuários
Sistema de autenticação (local, LDAP, AD, POP/IMAP...) e multi-servidor;
Vários idiomas;
Níveis de usuário;
Sistema de notificações sobre eventos via e-mail;
Gestão de pedidos de assistência via web ou e-mail;
Relatórios com gráficos;
Integração com OCS Inventory NG;
Gestão e controle de computador;
Gestão e monitoramento de licenças;
Gestão e atendimento de Helpdesk (tickets);
Inventário com Agent próprio;
Licença GPL;
Plugins e etc…

Site Oficial: http://glpi-project.org/

Doc: https://help.glpi-project.org/documentation

Curso/Certificação: https://blog.servicedeskbrasil.com.br/treinamentos-servicedeskbrasil/

== Recomendações ==

https://www.arthurschaefer.com.br

https://verdanadesk.com

https://mastermindti.com.br

== Vídeo ==

<embedvideo service="youtube">https://youtu.be/NzYu1Md5lLs</embedvideo>

https://youtu.be/NzYu1Md5lLs

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/glpi

Para instalar automaticamente faça:

Acesse seu servidor/VM ( Linux que será o GLPI ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/glpi/refs/heads/main/install-glpi.sh && bash install-glpi.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== Instalando dependências ==

* Debian 13

Atualização dos repositórios e instalação dos pacotes básicos de serviço web
apt update && apt install apache2 php -y
apt install mariadb-server php-{cli,ldap,xmlrpc,soap,curl,snmp,zip,apcu,gd,mbstring,mysql,xml,bz2,intl,bcmath}

== Banco de Dados ==
Acesso a interface de console do Banco de dados para criação do mesmo

mysql -u root -p

Criando o banco de dados (glpidb), criando usuário (glpi), com senha segura (gerar uma senha segura e alterar onde informa 'senhasegura'), garantindo os privilégios para escrita no banco

create database glpidb character set utf8;
create user 'glpi'@'localhost' identified by 'senhasegura';
grant all privileges on glpidb.* to 'glpi'@'localhost' with grant option;
flush privileges;
quit

== Baixar o GLPI ==

Baixar e extrair o software GLPI (verificar em: https://github.com/glpi-project/glpi/releases/)

wget https://github.com/glpi-project/glpi/releases/download/11.0.6/glpi-11.0.6.tgz
tar -zxvf glpi-11.0.6.tgz

== Configurar Apache ==

Mover o conteúdo extraído para a pasta padrão do apache2
mv glpi /var/www/html

Ajustar permissões
chown www-data:www-data /var/www/html/glpi -Rf
chmod 775 /var/www/html/glpi -Rf

Criar o arquivo de conf para o apache carregar

nano /etc/apache2/conf-available/glpi.conf

Inserir no arquivo vazio

<VirtualHost *:80>
ServerName glpi.localhost
DocumentRoot /var/www/html/glpi/public

<Directory /var/www/html/glpi/public>
AllowOverride All
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [QSA,L]
</Directory>
</VirtualHost>

Habilitação do módulos de rewrite e da configuração criada no apache

a2enmod rewrite
a2enconf glpi.conf
service apache2 restart

== Ajustar PHP ==
Para fazer o GLPI ter mais memória no apache e ajustar tamanhos de uploads faça:

nano /etc/php/8.4/apache2/php.ini

memory_limit = '''128M''' e altere para '''256M'''
post_max_size = '''8M''' e altere para '''256M'''
upload_max_filesize = '''2M''' e altere para '''256M'''
;session.cookie_secure = e altere para '''session.cookie_secure = on''' (remover para HTTP)
session.cookie_httponly e adicione '''on''' ao lado do sinal de =

* Lembrando que as entradas de segurança (session.cookie_secure e session.cookie_httponly) são opcionais para instalação, mas recomendadas para aumentar a segurança do ambiente.

== Ajustar TimeZone ==

Em alguns casos o timezone pode vir desabilitado, para habilitar faça no shell como root:

mariadb-tzinfo-to-sql /usr/share/zoneinfo | mariadb -u root -p mysql
sudo -u www-data php /var/www/html/glpi/bin/console database:enable_timezones

Após na interface web no GLPI vá em:

Configurar | Geral | Valores Padrão | Fuso Horário

Faça o Ajuste conforme a sua necessidade, no exemplo foi configurado para America/São_Paulo

[[Arquivo:Fuso-GLPI-11.jpg|thumb|443px|center|'''Ajuste Para America/Sao_Paulo''']]

== Instalação Agent GLPI ==

O Agente GLPI é um agente de gerenciamento genérico. Ele pode executar um certo número de tarefas, de acordo com seu próprio plano de execução, ou em nome de um servidor GLPI que atua como ponto de controle.
Este agente é baseado no agente FusionInventory. Ele introduz novos recursos e um novo protocolo para comunicação direta com um servidor GLPI e seu recurso de inventário nativo.

Veja a url: https://github.com/glpi-project/glpi-agent

Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/glpi

'''Para instalar automaticamente faça:'''

Acesse seu servidor/VM ( Linux que será o GLPI ) por ssh com usuário root e execute a linha abaixo

wget https://raw.githubusercontent.com/projetoroot/glpi/refs/heads/main/install-glpi-agent.sh && bash install-glpi-agent.sh

Hardening Windows Desktop

2026-03-03T04:02:50Z

Diegocosta: /* Sobre */

== Sobre ==

Olá! Visitante, reunimos aqui, informações sobre o processo de Hardening em Windows Desktop é um projeto focado em aplicar controles de segurança locais em estações Windows 10 e Windows 11 de forma direta e padronizada. A proposta é transformar recomendações técnicas do benchmark do CIS em ações práticas executadas via PowerShell, sem depender de Active Directory ou GPO centralizadas.
O objetivo é elevar o nível de segurança de máquinas standalone, reduzir a superfície de ataque e criar uma base mínima consistente de proteção, especialmente em ambientes corporativos de pequeno e médio porte.

O projeto prioriza clareza, rastreabilidade e aderência a boas práticas reconhecidas, permitindo medir conformidade e evoluir o nível de maturidade de segurança do ambiente.

Fonte: https://www.cisecurity.org/

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/hardening-windows-desktop

= 🛡️ Hardening Windows Desktop =

Script em PowerShell para aplicação de hardening em Windows 10 e Windows 11, com foco em ambientes corporativos que não utilizam Active Directory como base para GPO.

O projeto aplica configurações locais de segurança inspiradas nas recomendações do CIS Microsoft Windows 11 Enterprise Benchmark v5.0.0, traduzindo controles formais em execução prática e padronizada.

== 🎯 Objetivo do Projeto ==

Este script foi criado para:

* Aplicar baseline de segurança em estações Windows
* Reduzir a superfície de ataque do sistema operacional
* Endurecer autenticação e políticas locais
* Substituir parcialmente a ausência de GPO centralizadas
* Padronizar configurações de segurança em ambientes standalone

Ele não depende de domínio, AD ou infraestrutura corporativa avançada.

== 🏢 Cenários de Uso ==

Indicado para:

* Empresas pequenas e médias sem AD
* Ambientes em workgroup
* Máquinas administrativas
* Laboratórios técnicos
* Equipamentos expostos à internet
* Ambientes que precisam de padronização rápida

== 🔐 O Que o Script Aplica ==

=== 1️⃣ Contas e Autenticação ===

* Desativação da conta Guest
* Endurecimento de políticas de senha
* Ajustes em NTLM
* Restrições de autenticação insegura

Previne:

* Enumeração de contas
* Uso indevido de credenciais locais
* Ataques de força bruta
* Uso de protocolos antigos

'''🧭 Como fazer manualmente:'''
# Win+R → lusrmgr.msc
# Usuários → Guest
# Marcar Conta desativada

=== 2️⃣ UAC e Elevação de Privilégio ===

* Força consentimento para elevação
* Impede elevação silenciosa
* Ajusta comportamento de contas administrativas

Previne:

* Escalonamento de privilégio
* Execução automática de malware
* Bypass de controles administrativos

'''🧭 Como fazer manualmente:'''
# Painel de Controle → Contas de Usuário
# Alterar configurações de UAC
# Nível máximo

=== 3️⃣ Rede e Protocolos ===

* Desativação do SMBv1
* Ajustes em protocolos legados
* Endurecimento de configurações de rede

Previne:

* Exploração via protocolos obsoletos
* Ataques laterais em rede interna
* Vulnerabilidades conhecidas de SMB antigo

=== 4️⃣ Serviços do Sistema ===

* Desativa serviços desnecessários
* Ajusta inicialização de serviços sensíveis
* Reduz exposição de componentes pouco usados

Previne:

* Movimentação lateral
* Execução remota de código
* Superfície de ataque desnecessária

=== 5️⃣ Auditoria e Logs ===

* Ativa auditoria de eventos críticos
* Ajusta políticas de rastreamento
* Melhora visibilidade de atividades administrativas

Previne:

* Falta de rastreabilidade
* Dificuldade em investigação de incidentes
* Ausência de evidência em auditorias

'''🧭 Como fazer manualmente:'''
# Win+R → secpol.msc
# Políticas Locais → Política de Auditoria
# Auditar eventos de logon → Sucesso e Falha
# Auditar rastreamento de processo → Sucesso e Falha

=== 6️⃣ Registro e Políticas Locais ===

* Aplica chaves equivalentes a GPO
* Endurece políticas locais via Registro
* Ajusta configurações sensíveis do sistema

Previne:

* Uso indevido de recursos do Windows
* Exploração de configurações padrão inseguras

== ⚙️ Requisitos ==

* Windows 10 ou Windows 11
* PowerShell 5.1 ou superior
* Execução como Administrador

== 📊 Controles Implementados com Criticidade e Peso ==

{| class="wikitable"
! Área !! Controle CIS !! Descrição !! Criticidade !! Implementado !! Peso
|-
| NTLM || 2.3.10.x || Restrição de NTLM inbound || Alta || Sim || 10
|-
| LSA || 18.8.21.5 || LSASS como Protected Process || Alta || Sim || 10
|-
| TLS || 18.9.1.1 || Desabilitar TLS 1.0 || Alta || Sim || 8
|-
| TLS || 18.9.1.2 || Desabilitar TLS 1.1 || Alta || Sim || 8
|-
| SMB || 18.9.84.1 || Assinatura SMB Cliente || Alta || Sim || 9
|-
| SMB || 18.9.84.2 || Assinatura SMB Servidor || Alta || Sim || 9
|-
| PowerShell || 18.10.7.1 || Remover PowerShell v2 || Média || Sim || 6
|-
| Defender || 18.9.45.x || Attack Surface Reduction || Alta || Sim || 10
|-
| Firewall || 9.x || Restringir regras inbound || Média || Sim || 6
|-
| Auditoria || 17.3.1 || Auditoria de Logon || Média || Sim || 5
|-
| Auditoria || 17.6.x || Auditoria de Gerenciamento de Conta || Média || Sim || 5
|}

=== Score Máximo: 86 pontos ===

Score (%) = (Soma dos Controles Conformes / 86) x 100

=== Classificação ===
[[File:Cis-level-1.png|CIS Compliance]]

{| class="wikitable"
! Percentual !! Nível
|-
| 90% - 100% || Hardened
|-
| 75% - 89% || Good Baseline
|-
| 50% - 74% || Moderate
|-
| < 50% || Weak
|}

== 🚀 Como Executar ==

=== Copie o trecho abaixo e execute no PowerShell como administrador ===

<pre>
cd $env:USERPROFILE\Downloads
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force
Invoke-WebRequest -Uri https://raw.githubusercontent.com/projetoroot/hardening-windows-desktop/refs/heads/main/hardening-windows-desktop.ps1 -OutFile hardening-windows-desktop.ps1
.\hardening-windows-desktop.ps1
</pre>

Hardening Windows Desktop

2026-03-03T03:59:42Z

Diegocosta: Criou página com '== Sobre == Olá! Visitante, reunimos aqui, informações sobre o processo de Hardening em Windows Desktop é um projeto focado em aplicar controles de segurança locais em estações Windows 10 e Windows 11 de forma direta e padronizada. A proposta é transformar recomendações técnicas do benchmark do CIS em ações práticas executadas via PowerShell, sem depender de Active Directory ou GPO centralizadas. O objetivo é elevar o nível de segurança de máquinas sta...'

== Sobre ==

Olá! Visitante, reunimos aqui, informações sobre o processo de Hardening em Windows Desktop é um projeto focado em aplicar controles de segurança locais em estações Windows 10 e Windows 11 de forma direta e padronizada. A proposta é transformar recomendações técnicas do benchmark do CIS em ações práticas executadas via PowerShell, sem depender de Active Directory ou GPO centralizadas.
O objetivo é elevar o nível de segurança de máquinas standalone, reduzir a superfície de ataque e criar uma base mínima consistente de proteção, especialmente em ambientes corporativos de pequeno e médio porte.

O projeto prioriza clareza, rastreabilidade e aderência a boas práticas reconhecidas, permitindo medir conformidade e evoluir o nível de maturidade de segurança do ambiente.

= 🛡️ Hardening Windows Desktop =

Script em PowerShell para aplicação de hardening em Windows 10 e Windows 11, com foco em ambientes corporativos que não utilizam Active Directory como base para GPO.

O projeto aplica configurações locais de segurança inspiradas nas recomendações do CIS Microsoft Windows 11 Enterprise Benchmark v5.0.0, traduzindo controles formais em execução prática e padronizada.

== 🎯 Objetivo do Projeto ==

Este script foi criado para:

* Aplicar baseline de segurança em estações Windows
* Reduzir a superfície de ataque do sistema operacional
* Endurecer autenticação e políticas locais
* Substituir parcialmente a ausência de GPO centralizadas
* Padronizar configurações de segurança em ambientes standalone

Ele não depende de domínio, AD ou infraestrutura corporativa avançada.

== 🏢 Cenários de Uso ==

Indicado para:

* Empresas pequenas e médias sem AD
* Ambientes em workgroup
* Máquinas administrativas
* Laboratórios técnicos
* Equipamentos expostos à internet
* Ambientes que precisam de padronização rápida

== 🔐 O Que o Script Aplica ==

=== 1️⃣ Contas e Autenticação ===

* Desativação da conta Guest
* Endurecimento de políticas de senha
* Ajustes em NTLM
* Restrições de autenticação insegura

Previne:

* Enumeração de contas
* Uso indevido de credenciais locais
* Ataques de força bruta
* Uso de protocolos antigos

'''🧭 Como fazer manualmente:'''
# Win+R → lusrmgr.msc
# Usuários → Guest
# Marcar Conta desativada

=== 2️⃣ UAC e Elevação de Privilégio ===

* Força consentimento para elevação
* Impede elevação silenciosa
* Ajusta comportamento de contas administrativas

Previne:

* Escalonamento de privilégio
* Execução automática de malware
* Bypass de controles administrativos

'''🧭 Como fazer manualmente:'''
# Painel de Controle → Contas de Usuário
# Alterar configurações de UAC
# Nível máximo

=== 3️⃣ Rede e Protocolos ===

* Desativação do SMBv1
* Ajustes em protocolos legados
* Endurecimento de configurações de rede

Previne:

* Exploração via protocolos obsoletos
* Ataques laterais em rede interna
* Vulnerabilidades conhecidas de SMB antigo

=== 4️⃣ Serviços do Sistema ===

* Desativa serviços desnecessários
* Ajusta inicialização de serviços sensíveis
* Reduz exposição de componentes pouco usados

Previne:

* Movimentação lateral
* Execução remota de código
* Superfície de ataque desnecessária

=== 5️⃣ Auditoria e Logs ===

* Ativa auditoria de eventos críticos
* Ajusta políticas de rastreamento
* Melhora visibilidade de atividades administrativas

Previne:

* Falta de rastreabilidade
* Dificuldade em investigação de incidentes
* Ausência de evidência em auditorias

'''🧭 Como fazer manualmente:'''
# Win+R → secpol.msc
# Políticas Locais → Política de Auditoria
# Auditar eventos de logon → Sucesso e Falha
# Auditar rastreamento de processo → Sucesso e Falha

=== 6️⃣ Registro e Políticas Locais ===

* Aplica chaves equivalentes a GPO
* Endurece políticas locais via Registro
* Ajusta configurações sensíveis do sistema

Previne:

* Uso indevido de recursos do Windows
* Exploração de configurações padrão inseguras

== ⚙️ Requisitos ==

* Windows 10 ou Windows 11
* PowerShell 5.1 ou superior
* Execução como Administrador

== 📊 Controles Implementados com Criticidade e Peso ==

{| class="wikitable"
! Área !! Controle CIS !! Descrição !! Criticidade !! Implementado !! Peso
|-
| NTLM || 2.3.10.x || Restrição de NTLM inbound || Alta || Sim || 10
|-
| LSA || 18.8.21.5 || LSASS como Protected Process || Alta || Sim || 10
|-
| TLS || 18.9.1.1 || Desabilitar TLS 1.0 || Alta || Sim || 8
|-
| TLS || 18.9.1.2 || Desabilitar TLS 1.1 || Alta || Sim || 8
|-
| SMB || 18.9.84.1 || Assinatura SMB Cliente || Alta || Sim || 9
|-
| SMB || 18.9.84.2 || Assinatura SMB Servidor || Alta || Sim || 9
|-
| PowerShell || 18.10.7.1 || Remover PowerShell v2 || Média || Sim || 6
|-
| Defender || 18.9.45.x || Attack Surface Reduction || Alta || Sim || 10
|-
| Firewall || 9.x || Restringir regras inbound || Média || Sim || 6
|-
| Auditoria || 17.3.1 || Auditoria de Logon || Média || Sim || 5
|-
| Auditoria || 17.6.x || Auditoria de Gerenciamento de Conta || Média || Sim || 5
|}

=== Score Máximo: 86 pontos ===

Score (%) = (Soma dos Controles Conformes / 86) x 100

=== Classificação ===
[[File:Cis-level-1.png|CIS Compliance]]

{| class="wikitable"
! Percentual !! Nível
|-
| 90% - 100% || Hardened
|-
| 75% - 89% || Good Baseline
|-
| 50% - 74% || Moderate
|-
| < 50% || Weak
|}

== 🚀 Como Executar ==

=== Copie o trecho abaixo e execute no PowerShell como administrador ===

<pre>
cd $env:USERPROFILE\Downloads
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force
Invoke-WebRequest -Uri https://raw.githubusercontent.com/projetoroot/hardening-windows-desktop/refs/heads/main/hardening-windows-desktop.ps1 -OutFile hardening-windows-desktop.ps1
.\hardening-windows-desktop.ps1
</pre>

Arquivo:Cis-level-1.png

2026-03-03T03:21:36Z

Diegocosta:

Arquivo:CIS Level 1-Partial Compliance-yellow.svg

2026-03-03T03:19:47Z

Diegocosta:

Tuning e Hardening - VM

2026-03-03T03:14:05Z

Diegocosta: /* Sobre */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Removendo Kernel Antigo no Linux ==
https://wiki.projetoroot.com.br/index.php?title=Remover_Kernel_Linux_Antigo

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Acesse o shell com root e carregue o ambiente completo desse usuário '''(Passo importante)'''
su -

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
# Todos usuários
* soft nofile 104857
* hard nofile 104857

# Root explícito
root soft nofile 104857
root hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Desativar hibernação Windows

2026-02-28T01:31:34Z

Diegocosta: Criou página com '==Sobre == Olá! Visitante, reunimos aqui, informações sobre como desativar os modos de suspensão e hibernação no windows. == CMD == Abra o cmd como administrador <pre> Iniciar digite: cmd Executar como administrador Sim </pre> no CMD <pre> Microsoft Windows [versão 10.0.26200.7922] (c) Microsoft Corporation. Todos os direitos reservados. C:\Windows\System32>powercfg /a </pre> Note a saída, irá mostrar <pre> Os seguintes estados de suspensão estão dispon...'

==Sobre ==
Olá! Visitante, reunimos aqui, informações sobre como desativar os modos de suspensão e hibernação no windows.

== CMD ==

Abra o cmd como administrador
<pre>

Iniciar
digite: cmd
Executar como administrador
Sim
</pre>

no CMD
<pre>
Microsoft Windows [versão 10.0.26200.7922]
(c) Microsoft Corporation. Todos os direitos reservados.

C:\Windows\System32>powercfg /a
</pre>

Note a saída, irá mostrar
<pre>
Os seguintes estados de suspensão estão disponíveis neste sistema:
Espera (S0 Ocioso com Baixo Consumo de Energia) Conectado via Rede
Hibernar
</pre>

<pre>

Microsoft Windows [versão 10.0.26200.7922]
(c) Microsoft Corporation. Todos os direitos reservados.

C:\Windows\System32>powercfg /a
Os seguintes estados de suspensão estão disponíveis neste sistema:
Espera (S0 Ocioso com Baixo Consumo de Energia) Conectado via Rede
Hibernar

Os seguintes estados de suspensão não estão disponíveis neste sistema:
Modo de espera (S1)
O firmware do sistema não oferece suporte a este estado de espera.
Este modo de espera é desabilitado quando não há suporte para o estado ocioso de baixo consumo de energia do S0.

Modo de espera (S2)
O firmware do sistema não oferece suporte a este estado de espera.
Este modo de espera é desabilitado quando não há suporte para o estado ocioso de baixo consumo de energia do S0.

Modo de espera (S3)
O firmware do sistema não oferece suporte a este estado de espera.
Este modo de espera é desabilitado quando não há suporte para o estado ocioso de baixo consumo de energia do S0.

Suspensão Híbrida
O modo de espera (S3) não está disponível.
O hipervisor não dá suporte a este modo de espera.

Inicialização Rápida
Esta ação está desabilitada na política do sistema atual.

C:\Windows\System32>

</pre>

Para desativar, basta rodar o comando '''powercfg -h off'''
<pre>

Microsoft Windows [versão 10.0.26200.7922]
(c) Microsoft Corporation. Todos os direitos reservados.

C:\Windows\System32>powercfg -h off

C:\Windows\System32>

</pre>

Verificar novamente com o comando '''powercfg /a ''' e a hibernação não estará mais ativada!

veja as imagens abaixo para maiores detalhes!

[[Arquivo:Verificar-hibernacao.png|600px|thumb|left|Comando para verificar se está habilitado]]

[[Arquivo:Desativacao-e-Verificacao-hibernacao.png|600px|thumb|left|Comandos para desativar e verificar se está desabilitado]]

Arquivo:Desativacao-e-Verificacao-hibernacao.png

2026-02-28T01:29:17Z

Diegocosta:

Arquivo:Verificar-hibernacao.png

2026-02-28T01:27:35Z

Diegocosta:

Tuning e Hardening - Desktop

2026-02-27T03:14:39Z

Diegocosta: /* 🏃‍♂️ Uso */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux Desktop,ou seja, para uso em computadores e notebooks voltados para uso cotidiano, como navegar na internet, trabalhar com textos, arquivos, fazer stream, jogar e desenvolver. Se quer otimização para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 5% a 20% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

= 🖥️ Desktop Tuning Manager =

'''Autor:''' Diego Costa (@diegocostaroot)
'''Canal no youtube:''' Projeto Root ([https://www.youtube.com/projetoroot youtube.com/projetoroot])
'''Wiki:''' ([https://wiki.projetoroot.com.br wiki.projetoroot.com.br])

Gerenciador de perfis de tuning para Linux Desktop com backup, rollback e relatório HTML de diferenças.

----

== 🔧 Compatibilidade ==

O script foi testado e é compatível com as seguintes distribuições e versões Linux Desktop:

{| class="wikitable"
! Sistema
! Versão Testada
! Observações
|-
| Debian
| 12 / 13
| Requer <code>sysctl</code> instalado, executado como root
|-
| Ubuntu
| 22.04 / 24.04
| Funciona com desktops GNOME/KDE/CLI
|-
| Fedora
| 38 / 39
| Necessário ajustar <code>sysctl.d</code> para SELinux permissivo
|-
| Pop!_OS
| 22.04 / 24.04
| Mesmos requisitos do Ubuntu
|-
| Linux Mint
| 21 / 22
| Testado com Cinnamon e Mate
|-
| Outros
| Qualquer distro Linux moderna
| Requer <code>sysctl</code> e diretórios padrão <code>/etc/sysctl.d</code> e <code>/var/backups/sysctl-tuning</code>
|}

<blockquote>
⚠️ '''Nota:''' Sistemas que não possuem <code>/etc/sysctl.d</code> ou <code>sysctl</code> não são compatíveis. Sempre execute como root.
</blockquote>

----

== 🎛️ Perfis Disponíveis ==

{| class="wikitable"
! Opção
! Perfil
! Arquivo Criado
! Efeito Principal
|-
| 1️⃣
| '''Desktop Geral'''
| <code>99-desktop-baseline.conf</code>
| ⚡ Baseline básico do sysctl, sem ajustes extras
|-
| 2️⃣
| '''Gaming'''
| <code>99-desktop-gaming.conf</code>
| 🎮 Otimizações TCP e memória para jogos, conexões e backlog aumentados
|-
| 3️⃣
| '''Laptop Economia'''
| <code>99-desktop-laptop.conf</code>
| 💡 Economia de energia, swappiness médio, opcional runtime power saving (CPU, brilho, I/O)
|-
| 4️⃣
| '''Dev Workstation'''
| <code>99-desktop-dev.conf</code>
| 💻 Limites altos de arquivos, processos e swappiness baixo para desenvolvimento
|-
| 5️⃣
| '''Streaming OBS'''
| <code>99-desktop-streaming.conf</code>
| 📹 Buffers de rede maiores, swappiness baixo, otimização para streaming
|-
| 6️⃣
| '''Economia de Energia'''
| <code>99-desktop-powersave.conf</code>
| 🌱 Swappiness alto, cache pressure e scheduling para economia geral de energia
|-
| 7️⃣
| '''Restaurar Backup'''
| <code>99-rollback-manual.conf</code>
| 🔄 Restaura qualquer backup válido do sysctl (runtime + permanente)
|}

<blockquote>
⚠️ '''Nota:''' Opção 7 lista todos os backups disponíveis em <code>/var/backups/sysctl-tuning</code> e pede confirmação antes de restaurar.
</blockquote>

----

== 📋 Fluxo de Execução ==

# 💾 Cria backup atual do sysctl em <code>/var/backups/sysctl-tuning</code>
# 📝 Captura snapshot '''Antes'''
# 🔍 Detecta perfil ativo
# 🖱️ Menu para escolher perfil
# 🚫 Bloqueia reaplicação do mesmo perfil
# 🗑️ Remove perfis antigos e aplica '''baseline'''
# ⚙️ Aplica perfil escolhido
# 🔧 Aplica <code>sysctl --system</code> e faz rollback automático em caso de erro
# 📝 Captura snapshot '''Depois'''
# 🌐 Gera relatório HTML comparando antes/depois

----

== 📄 Relatórios Gerados ==

{| class="wikitable"
! Arquivo
! Conteúdo
|-
| <code>sysctl_before_YYYY-MM-DD-HH-MM-SS.txt</code>
| Estado do sysctl '''antes''' do tuning
|-
| <code>sysctl_after_YYYY-MM-DD-HH-MM-SS.txt</code>
| Estado do sysctl '''após''' o tuning
|-
| <code>sysctl_diff_YYYY-MM-DD-HH-MM-SS.html</code>
| 💻 Relatório visual comparando antes e depois, com cores para valores adicionados ou removidos
|}

----

== ⚙️ Requisitos ==

* Linux com <code>sysctl</code>
* Executar o script como '''root'''
* Diretório para salvar relatórios existente

----

== 🏃‍♂️ Uso ==

wget https://raw.githubusercontent.com/projetoroot/tuning-desktop/refs/heads/main/install.sh && sudo bash install.sh

Tuning e Hardening - Desktop

2026-02-27T03:14:30Z

Diegocosta: /* 🏃‍♂️ Uso */

Tunning-Mysql

2026-02-20T00:17:51Z

Diegocosta:

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tunning no Mysql, este procedimento tende a aumentar o desempenho de leitura e escrita em Banco, assim aumentando a performance geral do sistema de Banco de Dados em Mysql. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra.

= Guia Completo de Tunning e Monitoramento de MySQL =

== Introdução ==
Este guia reúne todas as etapas para otimizar e monitorar servidores MySQL modernos (5.7 ou 8.0), com foco em:

* Aumentar a performance de leitura e escrita
* Reduzir gargalos
* Evitar upgrades desnecessários de infraestrutura
* Coletar métricas em tempo real e histórico

As práticas incluem uso do **MySQLTuner**, ajustes no arquivo de configuração e monitoramento contínuo com **Performance Schema** e **PMM (Percona Monitoring and Management)**.

== MySQLTuner ==
O MySQLTuner é um script em Perl que analisa o estado atual do MySQL e sugere ajustes de performance.

=== Download ===
<pre>
wget https://raw.githubusercontent.com/major/MySQLTuner-perl/master/mysqltuner.pl -O mysqltuner.pl
chmod +x mysqltuner.pl

# Opcional: auditoria de senhas básicas
wget https://raw.githubusercontent.com/major/MySQLTuner-perl/master/basic_passwords.txt -O basic_passwords.txt
</pre>

=== Executar análise ===
<pre>
perl mysqltuner.pl
</pre>

O script gera recomendações de:

* Buffers e caches
* Conexões
* Queries e waits
* Segurança do MySQL

== Ajustes de Configuração ==
=== Local do arquivo ===
* Ubuntu/Debian: <code>/etc/mysql/mysql.conf.d/mysqld.cnf</code>
* CentOS/RHEL: <code>/etc/my.cnf</code>

Exemplo de abertura:
<pre>
sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf
</pre>

=== Valores recomendados por RAM ===
{| class="wikitable sortable"
! Variável !! 8 GB RAM !! 16 GB RAM !! 32 GB RAM !! Observações
|-
| tmp_table_size || 64M || 128M || 256M || Buffers temporários para tabelas HEAP/Temp
|-
| max_heap_table_size || 64M || 128M || 256M || Igual a tmp_table_size
|-
| innodb_buffer_pool_size || 2G || 8G || 16G || Cerca de 70-80% da RAM dedicada ao MySQL
|-
| innodb_buffer_pool_instances || 1 || 4 || 8 || Para pools grandes, aumenta paralelismo
|-
| innodb_log_file_size || 256M || 512M || 1G || Total log files ≈ 25% do buffer pool
|-
| performance_schema || ON || ON || ON || Ativar para diagnósticos avançados
|-
| max_connections || 200 || 300 || 400 || Ajustar conforme número de usuários
|-
| query_cache_size || 0 || 0 || 0 || Ignorado no MySQL 8.0
|-
| query_cache_type || 0 || 0 || 0 || Ignorado no MySQL 8.0
|}

=== Exemplo de bloco em mysqld.cnf ===
<pre>
[mysqld]
tmp_table_size = 128M
max_heap_table_size = 128M
innodb_buffer_pool_size = 8G
innodb_buffer_pool_instances = 4
innodb_log_file_size = 512M
performance_schema = ON
max_connections = 300
query_cache_size = 0
query_cache_type = 0
</pre>

=== Aplicar alterações ===
<pre>
sudo systemctl restart mysql
</pre>

Após reiniciar, execute novamente o MySQLTuner para validar os ajustes.

== Monitoramento Contínuo ==

=== Performance Schema (PFS) ===
O Performance Schema coleta métricas detalhadas sobre queries, locks, buffers e tempos de execução.

Ativar no arquivo de configuração:
<pre>
[mysqld]
performance_schema=ON
</pre>

Reinicie o MySQL:
<pre>
sudo systemctl restart mysql
</pre>

Consultas úteis:
<pre>
-- Queries mais pesadas
SELECT *
FROM performance_schema.events_statements_summary_by_digest
ORDER BY AVG_TIMER_WAIT DESC
LIMIT 10;

-- Esperas por locks
SELECT *
FROM performance_schema.events_waits_summary_global_by_event_name
ORDER BY SUM_TIMER_WAIT DESC;
</pre>

Ajuste `performance_schema_max_table_instances` e `performance_schema_max_digest_length` se houver muita carga.

=== PMM (Percona Monitoring and Management) ===
PMM pode ser instalado nativamente no servidor Linux.

1. Baixe o pacote do PMM Server (exemplo para Debian/Ubuntu):
'''OBS:''' Acessar o site e baixar a versão mais atual.

<pre>
wget https://www.percona.com/downloads/pmm2/pmm2-server/pool/main/p/pmm2-server/pmm2-server_VERSION_all.deb
sudo dpkg -i pmm2-server_VERSION_all.deb
</pre>

2. Instale o PMM Client no servidor MySQL:
<pre>
sudo apt install pmm2-client
</pre>

3. Configure o PMM Client para conectar ao PMM Server:
<pre>
pmm-admin config --server-url=https://admin:admin@IP_DO_PMM_SERVER
pmm-admin add mysql --username=root --password=SEU_PASSWORD
</pre>

4. Acesse o PMM Server pelo navegador:
* IP do servidor PMM, porta 80
* Dashboards mostram:
* Queries lentas
* Uso de CPU e memória
* Locks e waits
* Throughput de transações
* Alertas podem ser configurados via Grafana

== Dicas Finais ==
* Ajuste os valores conforme memória disponível e carga real.
* Monitore o impacto por algumas horas/dias antes de aplicar em produção.
* Use Performance Schema para análises rápidas e PMM para monitoramento contínuo.
* Evite desativar proteções nativas ou usar parâmetros obsoletos.

Tuning e Hardening - Host

2026-02-20T00:03:37Z

Diegocosta: /* Kernel Tuning e Hardening */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux no bare metal,ou seja, no servidor físico, para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''Compatibilidade''': Este conjunto de parâmetros sysctl é compatível com distribuições Linux que utilizam kernel Linux 5.4 ou superior.

<pre>
Distribuições testadas e compatíveis:
- Debian 11, 12 e 13
- Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS
- Proxmox VE 7, 8 e 9
- Rocky Linux 8 e 9
- AlmaLinux 8 e 9
- RHEL 8 e 9
</pre>

= Kernel Tuning e Hardening =

Este projeto apresenta um conjunto de configurações e scripts para ajuste de desempenho (tuning) e endurecimento de segurança (hardening) do kernel Linux.

O foco é melhorar estabilidade, capacidade de rede e segurança do sistema, sem desabilitar proteções críticas do kernel ou utilizar parâmetros obsoletos.

== Objetivos ==

* Ajustar parâmetros do kernel para servidores
* Reduzir superfície de ataque
* Manter compatibilidade com auditorias técnicas
* Fornecer mecanismo simples de validação

== Escopo ==

Estas configurações foram pensadas para:

* Servidores Linux listados como compatíveis
* Ambientes físicos ou virtualizados
* Serviços de rede e infraestrutura
* Uso institucional ou pessoal

== Removendo Kernel Antigo no Linux ==
https://wiki.projetoroot.com.br/index.php?title=Remover_Kernel_Linux_Antigo

== Tabela impacto e o objetivo ==

Esta tabela descreve o impacto e o objetivo de cada grupo de ajustes aplicados diretamente no host, considerando estabilidade, segurança e isolamento entre VMs.

{| class="wikitable" style="text-align:left;"
! Componente do host
! Objetivo do hardening
! Ajustes aplicados
! Benefícios práticos
! Cuidados / Observações
|-
| '''Kernel Linux'''
| Reduzir superfície de ataque do host
| Proteções de symlink e hardlink, restrição de dmesg, ptrace limitado, ASLR forçado
| Dificulta escalonamento de privilégios e vazamento de informações do kernel
| Pode impactar ferramentas de debug no host
|-
| '''Filesystem'''
| Evitar abuso de recursos do sistema
| fs.file-max elevado, desativação de core dumps setuid
| Previne esgotamento de descritores e vazamento de memória sensível
| Ajustes devem considerar capacidade real do host
|-
| '''Memória'''
| Priorizar VMs em vez do host
| swappiness baixo, mmap mínimo elevado
| Reduz uso de swap no host e melhora previsibilidade
| Swap ainda é necessária para estabilidade extrema
|-
| '''Scheduler'''
| Evitar priorização automática indevida
| Desativação de autogroup, ajuste de migration cost
| Menos jitter e melhor previsibilidade para cargas de virtualização
| Pode reduzir responsividade em sessões interativas
|-
| '''Rede IPv4'''
| Proteger o host contra ataques de rede
| rp_filter, desativar redirects, source routing, log de pacotes inválidos
| Reduz spoofing, ataques de rota e tráfego malformado
| Não interfere no tráfego das VMs
|-
| '''Stack TCP'''
| Estabilidade e proteção básica
| SYN cookies, redução de retries, timeout controlado
| Mitiga ataques de SYN flood e conexões zumbis
| Host não deve ser usado como servidor de aplicação
|-
| '''ARP / Neighbor cache'''
| Estabilidade em ambientes grandes
| Limites elevados de gc_thresh, intervalos menores
| Evita estouro de cache ARP em ambientes com muitas VMs
| Valores devem crescer conforme número de VMs
|-
| '''IPv6'''
| Reduzir exposição desnecessária
| Desativação de RA e redirects no host
| Evita configuração automática indevida de rotas
| Não afeta IPv6 interno das VMs
|-
| '''Virtualização'''
| Isolamento entre guests
| Kernel hardening padrão + KVM intacto
| Reduz risco de impacto de uma VM comprometida
| Não substitui atualizações de segurança
|}

== Estrutura do projeto ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

{| class="wikitable"
! Caminho !! Descrição
|-
| /etc/sysctl/99-custom.conf || Ajustes de desempenho
|-
| /etc/sysctl/99-hardening.conf || Ajustes de segurança
|-
| /bin/sysctl-check.sh || Script de validação
|}

== Decisões de segurança ==

* Mitigações de Meltdown e Spectre permanecem ativas
* Nenhum parâmetro depreciado ou removido é utilizado
* Hardening aplicado sem impacto relevante de desempenho

== Aviso ==

Estas configurações devem ser testadas em ambiente controlado antes da aplicação em produção.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-host

Para instalar automaticamente faça:

Acesse seu servidor/VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-host/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

= Kernel Tuning – sysctl =
Crie o arquivo 99-custom.conf

nano /etc/sysctl.d/99-custom.conf

== Arquivo: 99-custom.conf ==
Copie e cole o conteúdo abaixo no arquivo
<pre>
############################
# Limites de arquivos
############################
# Define o número máximo de arquivos abertos no sistema
fs.file-max = 1048576
############################
# Gerenciamento de memória
############################
# Reduz uso de swap, priorizando memória RAM
vm.swappiness = 1
############################
# Portas efêmeras e conexões
############################
# Intervalo de portas locais para conexões de saída
net.ipv4.ip_local_port_range = 10000 65000
# Número máximo de conexões pendentes no listen
net.core.somaxconn = 65535
############################
# Buffers globais de rede
############################
# Buffer máximo de recepção
net.core.rmem_max = 16777216
# Buffer máximo de envio
net.core.wmem_max = 16777216
# Buffer padrão de recepção
net.core.rmem_default = 262144
# Buffer padrão de envio
net.core.wmem_default = 262144
############################
# Buffers TCP
############################
# Buffer TCP de recepção: min, default e max
net.ipv4.tcp_rmem = 4096 87380 16777216
# Buffer TCP de envio: min, default e max
net.ipv4.tcp_wmem = 4096 65536 16777216
############################
# Filas e backlog
############################
# Fila máxima de pacotes por interface
net.core.netdev_max_backlog = 50000
# Máximo de conexões SYN pendentes
net.ipv4.tcp_max_syn_backlog = 32768
# Limite de conexões em TIME_WAIT
net.ipv4.tcp_max_tw_buckets = 262144
############################
# Otimizações TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de espera no fechamento TCP
net.ipv4.tcp_fin_timeout = 10
# Evita reinício lento após ociosidade
net.ipv4.tcp_slow_start_after_idle = 0
# Reduz tentativas de SYN
net.ipv4.tcp_syn_retries = 3
# Reduz tentativas de SYN-ACK
net.ipv4.tcp_synack_retries = 3
############################
# Buffers UDP
############################
# Buffer mínimo de recepção UDP
net.ipv4.udp_rmem_min = 8192
# Buffer mínimo de envio UDP
net.ipv4.udp_wmem_min = 8192
############################
# Ajustes de TCP
############################
# Ativa escalonamento de janela TCP
net.ipv4.tcp_window_scaling = 1
############################
# Hardening IPv4
############################
# Não enviar redirecionamentos ICMP
net.ipv4.conf.all.send_redirects = 0
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
############################
# Scheduler do kernel
############################
# Reduz migração excessiva de processos entre CPUs
kernel.sched_migration_cost_ns = 5000000
# Desativa agrupamento automático de processos
kernel.sched_autogroup_enabled = 0
############################
# Cache ARP
############################
# Intervalo de coleta de entradas ARP
net.ipv4.neigh.default.gc_interval = 15
# Limite inicial do cache ARP
net.ipv4.neigh.default.gc_thresh1 = 4096
# Limite intermediário do cache ARP
net.ipv4.neigh.default.gc_thresh2 = 8192
# Limite máximo do cache ARP
net.ipv4.neigh.default.gc_thresh3 = 16384

</pre>

== Observações ==

* Os valores priorizam estabilidade e throughput
* Não há impacto negativo em segurança
* Compatível com cargas de rede elevadas

= Kernel Hardening – sysctl =

Crie o arquivo 99-hardening.conf

nano /etc/sysctl.d/99-hardening.conf

== Arquivo: 99-hardening.conf ==
Copie e cole o conteúdo abaixo no arquivo

<pre>
###########################
# Kernel hardening baseline
############################
# Proteção de links simbólicos e hardlinks
fs.protected_hardlinks = 1
fs.protected_symlinks = 1
fs.protected_fifos = 1
fs.protected_regular = 1
# Restringir acesso ao dmesg
kernel.dmesg_restrict = 1
# Restringir acesso a ponteiros do kernel
kernel.kptr_restrict = 2
# Evitar core dumps de binários setuid
fs.suid_dumpable = 0
# Endurecer uso de ptrace
kernel.yama.ptrace_scope = 1
############################
# Hardening de rede IPv4
############################
# Proteção contra IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Não enviar redirecionamentos
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Ativar SYN cookies
net.ipv4.tcp_syncookies = 1
# Ignorar ICMP suspeitos
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
############################
# Hardening IPv6
############################
# Desabilitar redirects IPv6
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Não aceitar router advertisements se não for roteador
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
############################
# Memória e execução
############################
# Endurecer mmap em regiões baixas
vm.mmap_min_addr = 65536
# Proteger contra execuções indevidas
kernel.randomize_va_space = 2
############################
# Controle de pacotes suspeitos
############################
# Ignorar pacotes com timestamp inválido
net.ipv4.tcp_timestamps = 1
# Validar pacotes TCP
net.ipv4.tcp_rfc1337 = 1
</pre>

= Aplicação das configurações sysctl =

As configurações de tuning e hardening devem ser aplicadas por meio de arquivos
no diretório /etc/sysctl.d/.

Não é recomendado editar diretamente o arquivo /etc/sysctl.conf.

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

= Validação das configurações sysctl =

O script sysctl-check.sh valida se os parâmetros definidos estão ativos
no kernel em tempo de execução.

== Script de validação ==

nano /bin/sysctl-check.sh

<pre>
#!/bin/bash

echo "Validação de sysctl - tuning e hardening"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

echo "== Kernel hardening =="
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check kernel.yama.ptrace_scope 1
check kernel.randomize_va_space 2
check vm.mmap_min_addr 65536

echo
echo "== Rede IPv4 =="
check net.ipv4.conf.all.rp_filter 1
check net.ipv4.conf.default.rp_filter 1
check net.ipv4.conf.all.accept_redirects 0
check net.ipv4.conf.default.accept_redirects 0
check net.ipv4.conf.all.send_redirects 0
check net.ipv4.conf.default.send_redirects 0
check net.ipv4.conf.all.accept_source_route 0
check net.ipv4.conf.default.accept_source_route 0
check net.ipv4.tcp_syncookies 1
check net.ipv4.icmp_echo_ignore_broadcasts 1
check net.ipv4.icmp_ignore_bogus_error_responses 1
check net.ipv4.conf.all.log_martians 1
check net.ipv4.conf.default.log_martians 1
check net.ipv4.tcp_rfc1337 1
check net.ipv4.tcp_timestamps 1

echo
echo "== Rede IPv6 =="
check net.ipv6.conf.all.accept_redirects 0
check net.ipv6.conf.default.accept_redirects 0
check net.ipv6.conf.all.accept_ra 0
check net.ipv6.conf.default.accept_ra 0

echo
echo "== Tuning essencial =="
check fs.file-max 1048576
check vm.swappiness 1
check net.core.somaxconn 65535
check net.ipv4.tcp_fin_timeout 10
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_slow_start_after_idle 0

echo
if [ $FAIL -eq 0 ]; then
echo "Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO"
exit 1
fi

</pre>

Saia do arquivo e de permissão de execução.
chmod +x /bin/sysctl-check.sh

Executando:
sysctl-check.sh

== Resultado ==

<pre>
#################################
Validação de sysctl - tuning e hardening
Host: debian-base
Data: qua 18 fev 2026 18:18:18 -03

== Kernel hardening ==
[ OK ] fs.protected_hardlinks = 1
[ OK ] fs.protected_symlinks = 1
[ OK ] fs.protected_fifos = 1
[ OK ] fs.protected_regular = 1
[ OK ] kernel.dmesg_restrict = 1
[ OK ] kernel.kptr_restrict = 2
[ OK ] fs.suid_dumpable = 0
[ OK ] kernel.yama.ptrace_scope = 1
[ OK ] kernel.randomize_va_space = 2
[ OK ] vm.mmap_min_addr = 65536

== Rede IPv4 ==
[ OK ] net.ipv4.conf.all.rp_filter = 1
[ OK ] net.ipv4.conf.default.rp_filter = 1
[ OK ] net.ipv4.conf.all.accept_redirects = 0
[ OK ] net.ipv4.conf.default.accept_redirects = 0
[ OK ] net.ipv4.conf.all.send_redirects = 0
[ OK ] net.ipv4.conf.default.send_redirects = 0
[ OK ] net.ipv4.conf.all.accept_source_route = 0
[ OK ] net.ipv4.conf.default.accept_source_route = 0
[ OK ] net.ipv4.tcp_syncookies = 1
[ OK ] net.ipv4.icmp_echo_ignore_broadcasts = 1
[ OK ] net.ipv4.icmp_ignore_bogus_error_responses = 1
[ OK ] net.ipv4.conf.all.log_martians = 1
[ OK ] net.ipv4.conf.default.log_martians = 1
[ OK ] net.ipv4.tcp_rfc1337 = 1
[ OK ] net.ipv4.tcp_timestamps = 1

== Rede IPv6 ==
[ OK ] net.ipv6.conf.all.accept_redirects = 0
[ OK ] net.ipv6.conf.default.accept_redirects = 0
[ OK ] net.ipv6.conf.all.accept_ra = 0
[ OK ] net.ipv6.conf.default.accept_ra = 0

== Tuning essencial ==
[ OK ] fs.file-max = 1048576
[ OK ] vm.swappiness = 1
[ OK ] net.core.somaxconn = 65535
[ OK ] net.ipv4.tcp_fin_timeout = 10
[ OK ] net.ipv4.tcp_tw_reuse = 1
[ OK ] net.ipv4.tcp_slow_start_after_idle = 0

Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS
#################################

</pre>

O script pode ser usado em auditorias, automações ou validações periódicas.

Tuning e Hardening - VM

2026-02-20T00:02:57Z

Diegocosta: /* Tabela de decisão por tipo de VM */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Removendo Kernel Antigo no Linux ==
https://wiki.projetoroot.com.br/index.php?title=Remover_Kernel_Linux_Antigo

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Acesse o shell com root e carregue o ambiente completo desse usuário '''(Passo importante)'''
su -

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
# Todos usuários
* soft nofile 104857
* hard nofile 104857

# Root explícito
root soft nofile 104857
root hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - Host

2026-02-19T01:15:00Z

Diegocosta: /* Arquivo: 99-hardening.conf */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux no bare metal,ou seja, no servidor físico, para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''Compatibilidade''': Este conjunto de parâmetros sysctl é compatível com distribuições Linux que utilizam kernel Linux 5.4 ou superior.

<pre>
Distribuições testadas e compatíveis:
- Debian 11, 12 e 13
- Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS
- Proxmox VE 7, 8 e 9
- Rocky Linux 8 e 9
- AlmaLinux 8 e 9
- RHEL 8 e 9
</pre>

= Kernel Tuning e Hardening =

Este projeto apresenta um conjunto de configurações e scripts para ajuste de desempenho (tuning) e endurecimento de segurança (hardening) do kernel Linux.

O foco é melhorar estabilidade, capacidade de rede e segurança do sistema, sem desabilitar proteções críticas do kernel ou utilizar parâmetros obsoletos.

== Objetivos ==

* Ajustar parâmetros do kernel para servidores
* Reduzir superfície de ataque
* Manter compatibilidade com auditorias técnicas
* Fornecer mecanismo simples de validação

== Escopo ==

Estas configurações foram pensadas para:

* Servidores Linux listados como compatíveis
* Ambientes físicos ou virtualizados
* Serviços de rede e infraestrutura
* Uso institucional ou pessoal

== Tabela impacto e o objetivo ==

Esta tabela descreve o impacto e o objetivo de cada grupo de ajustes aplicados diretamente no host, considerando estabilidade, segurança e isolamento entre VMs.

{| class="wikitable" style="text-align:left;"
! Componente do host
! Objetivo do hardening
! Ajustes aplicados
! Benefícios práticos
! Cuidados / Observações
|-
| '''Kernel Linux'''
| Reduzir superfície de ataque do host
| Proteções de symlink e hardlink, restrição de dmesg, ptrace limitado, ASLR forçado
| Dificulta escalonamento de privilégios e vazamento de informações do kernel
| Pode impactar ferramentas de debug no host
|-
| '''Filesystem'''
| Evitar abuso de recursos do sistema
| fs.file-max elevado, desativação de core dumps setuid
| Previne esgotamento de descritores e vazamento de memória sensível
| Ajustes devem considerar capacidade real do host
|-
| '''Memória'''
| Priorizar VMs em vez do host
| swappiness baixo, mmap mínimo elevado
| Reduz uso de swap no host e melhora previsibilidade
| Swap ainda é necessária para estabilidade extrema
|-
| '''Scheduler'''
| Evitar priorização automática indevida
| Desativação de autogroup, ajuste de migration cost
| Menos jitter e melhor previsibilidade para cargas de virtualização
| Pode reduzir responsividade em sessões interativas
|-
| '''Rede IPv4'''
| Proteger o host contra ataques de rede
| rp_filter, desativar redirects, source routing, log de pacotes inválidos
| Reduz spoofing, ataques de rota e tráfego malformado
| Não interfere no tráfego das VMs
|-
| '''Stack TCP'''
| Estabilidade e proteção básica
| SYN cookies, redução de retries, timeout controlado
| Mitiga ataques de SYN flood e conexões zumbis
| Host não deve ser usado como servidor de aplicação
|-
| '''ARP / Neighbor cache'''
| Estabilidade em ambientes grandes
| Limites elevados de gc_thresh, intervalos menores
| Evita estouro de cache ARP em ambientes com muitas VMs
| Valores devem crescer conforme número de VMs
|-
| '''IPv6'''
| Reduzir exposição desnecessária
| Desativação de RA e redirects no host
| Evita configuração automática indevida de rotas
| Não afeta IPv6 interno das VMs
|-
| '''Virtualização'''
| Isolamento entre guests
| Kernel hardening padrão + KVM intacto
| Reduz risco de impacto de uma VM comprometida
| Não substitui atualizações de segurança
|}

== Estrutura do projeto ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

{| class="wikitable"
! Caminho !! Descrição
|-
| /etc/sysctl/99-custom.conf || Ajustes de desempenho
|-
| /etc/sysctl/99-hardening.conf || Ajustes de segurança
|-
| /bin/sysctl-check.sh || Script de validação
|}

== Decisões de segurança ==

* Mitigações de Meltdown e Spectre permanecem ativas
* Nenhum parâmetro depreciado ou removido é utilizado
* Hardening aplicado sem impacto relevante de desempenho

== Aviso ==

Estas configurações devem ser testadas em ambiente controlado antes da aplicação em produção.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-host

Para instalar automaticamente faça:

Acesse seu servidor/VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-host/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

= Kernel Tuning – sysctl =
Crie o arquivo 99-custom.conf

nano /etc/sysctl.d/99-custom.conf

== Arquivo: 99-custom.conf ==
Copie e cole o conteúdo abaixo no arquivo
<pre>
############################
# Limites de arquivos
############################
# Define o número máximo de arquivos abertos no sistema
fs.file-max = 1048576
############################
# Gerenciamento de memória
############################
# Reduz uso de swap, priorizando memória RAM
vm.swappiness = 1
############################
# Portas efêmeras e conexões
############################
# Intervalo de portas locais para conexões de saída
net.ipv4.ip_local_port_range = 10000 65000
# Número máximo de conexões pendentes no listen
net.core.somaxconn = 65535
############################
# Buffers globais de rede
############################
# Buffer máximo de recepção
net.core.rmem_max = 16777216
# Buffer máximo de envio
net.core.wmem_max = 16777216
# Buffer padrão de recepção
net.core.rmem_default = 262144
# Buffer padrão de envio
net.core.wmem_default = 262144
############################
# Buffers TCP
############################
# Buffer TCP de recepção: min, default e max
net.ipv4.tcp_rmem = 4096 87380 16777216
# Buffer TCP de envio: min, default e max
net.ipv4.tcp_wmem = 4096 65536 16777216
############################
# Filas e backlog
############################
# Fila máxima de pacotes por interface
net.core.netdev_max_backlog = 50000
# Máximo de conexões SYN pendentes
net.ipv4.tcp_max_syn_backlog = 32768
# Limite de conexões em TIME_WAIT
net.ipv4.tcp_max_tw_buckets = 262144
############################
# Otimizações TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de espera no fechamento TCP
net.ipv4.tcp_fin_timeout = 10
# Evita reinício lento após ociosidade
net.ipv4.tcp_slow_start_after_idle = 0
# Reduz tentativas de SYN
net.ipv4.tcp_syn_retries = 3
# Reduz tentativas de SYN-ACK
net.ipv4.tcp_synack_retries = 3
############################
# Buffers UDP
############################
# Buffer mínimo de recepção UDP
net.ipv4.udp_rmem_min = 8192
# Buffer mínimo de envio UDP
net.ipv4.udp_wmem_min = 8192
############################
# Ajustes de TCP
############################
# Ativa escalonamento de janela TCP
net.ipv4.tcp_window_scaling = 1
############################
# Hardening IPv4
############################
# Não enviar redirecionamentos ICMP
net.ipv4.conf.all.send_redirects = 0
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
############################
# Scheduler do kernel
############################
# Reduz migração excessiva de processos entre CPUs
kernel.sched_migration_cost_ns = 5000000
# Desativa agrupamento automático de processos
kernel.sched_autogroup_enabled = 0
############################
# Cache ARP
############################
# Intervalo de coleta de entradas ARP
net.ipv4.neigh.default.gc_interval = 15
# Limite inicial do cache ARP
net.ipv4.neigh.default.gc_thresh1 = 4096
# Limite intermediário do cache ARP
net.ipv4.neigh.default.gc_thresh2 = 8192
# Limite máximo do cache ARP
net.ipv4.neigh.default.gc_thresh3 = 16384

</pre>

== Observações ==

* Os valores priorizam estabilidade e throughput
* Não há impacto negativo em segurança
* Compatível com cargas de rede elevadas

= Kernel Hardening – sysctl =

Crie o arquivo 99-hardening.conf

nano /etc/sysctl.d/99-hardening.conf

== Arquivo: 99-hardening.conf ==
Copie e cole o conteúdo abaixo no arquivo

<pre>
###########################
# Kernel hardening baseline
############################
# Proteção de links simbólicos e hardlinks
fs.protected_hardlinks = 1
fs.protected_symlinks = 1
fs.protected_fifos = 1
fs.protected_regular = 1
# Restringir acesso ao dmesg
kernel.dmesg_restrict = 1
# Restringir acesso a ponteiros do kernel
kernel.kptr_restrict = 2
# Evitar core dumps de binários setuid
fs.suid_dumpable = 0
# Endurecer uso de ptrace
kernel.yama.ptrace_scope = 1
############################
# Hardening de rede IPv4
############################
# Proteção contra IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Não enviar redirecionamentos
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Ativar SYN cookies
net.ipv4.tcp_syncookies = 1
# Ignorar ICMP suspeitos
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
############################
# Hardening IPv6
############################
# Desabilitar redirects IPv6
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Não aceitar router advertisements se não for roteador
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
############################
# Memória e execução
############################
# Endurecer mmap em regiões baixas
vm.mmap_min_addr = 65536
# Proteger contra execuções indevidas
kernel.randomize_va_space = 2
############################
# Controle de pacotes suspeitos
############################
# Ignorar pacotes com timestamp inválido
net.ipv4.tcp_timestamps = 1
# Validar pacotes TCP
net.ipv4.tcp_rfc1337 = 1
</pre>

= Aplicação das configurações sysctl =

As configurações de tuning e hardening devem ser aplicadas por meio de arquivos
no diretório /etc/sysctl.d/.

Não é recomendado editar diretamente o arquivo /etc/sysctl.conf.

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

= Validação das configurações sysctl =

O script sysctl-check.sh valida se os parâmetros definidos estão ativos
no kernel em tempo de execução.

== Script de validação ==

nano /bin/sysctl-check.sh

<pre>
#!/bin/bash

echo "Validação de sysctl - tuning e hardening"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

echo "== Kernel hardening =="
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check kernel.yama.ptrace_scope 1
check kernel.randomize_va_space 2
check vm.mmap_min_addr 65536

echo
echo "== Rede IPv4 =="
check net.ipv4.conf.all.rp_filter 1
check net.ipv4.conf.default.rp_filter 1
check net.ipv4.conf.all.accept_redirects 0
check net.ipv4.conf.default.accept_redirects 0
check net.ipv4.conf.all.send_redirects 0
check net.ipv4.conf.default.send_redirects 0
check net.ipv4.conf.all.accept_source_route 0
check net.ipv4.conf.default.accept_source_route 0
check net.ipv4.tcp_syncookies 1
check net.ipv4.icmp_echo_ignore_broadcasts 1
check net.ipv4.icmp_ignore_bogus_error_responses 1
check net.ipv4.conf.all.log_martians 1
check net.ipv4.conf.default.log_martians 1
check net.ipv4.tcp_rfc1337 1
check net.ipv4.tcp_timestamps 1

echo
echo "== Rede IPv6 =="
check net.ipv6.conf.all.accept_redirects 0
check net.ipv6.conf.default.accept_redirects 0
check net.ipv6.conf.all.accept_ra 0
check net.ipv6.conf.default.accept_ra 0

echo
echo "== Tuning essencial =="
check fs.file-max 1048576
check vm.swappiness 1
check net.core.somaxconn 65535
check net.ipv4.tcp_fin_timeout 10
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_slow_start_after_idle 0

echo
if [ $FAIL -eq 0 ]; then
echo "Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO"
exit 1
fi

</pre>

Saia do arquivo e de permissão de execução.
chmod +x /bin/sysctl-check.sh

Executando:
sysctl-check.sh

== Resultado ==

<pre>
#################################
Validação de sysctl - tuning e hardening
Host: debian-base
Data: qua 18 fev 2026 18:18:18 -03

== Kernel hardening ==
[ OK ] fs.protected_hardlinks = 1
[ OK ] fs.protected_symlinks = 1
[ OK ] fs.protected_fifos = 1
[ OK ] fs.protected_regular = 1
[ OK ] kernel.dmesg_restrict = 1
[ OK ] kernel.kptr_restrict = 2
[ OK ] fs.suid_dumpable = 0
[ OK ] kernel.yama.ptrace_scope = 1
[ OK ] kernel.randomize_va_space = 2
[ OK ] vm.mmap_min_addr = 65536

== Rede IPv4 ==
[ OK ] net.ipv4.conf.all.rp_filter = 1
[ OK ] net.ipv4.conf.default.rp_filter = 1
[ OK ] net.ipv4.conf.all.accept_redirects = 0
[ OK ] net.ipv4.conf.default.accept_redirects = 0
[ OK ] net.ipv4.conf.all.send_redirects = 0
[ OK ] net.ipv4.conf.default.send_redirects = 0
[ OK ] net.ipv4.conf.all.accept_source_route = 0
[ OK ] net.ipv4.conf.default.accept_source_route = 0
[ OK ] net.ipv4.tcp_syncookies = 1
[ OK ] net.ipv4.icmp_echo_ignore_broadcasts = 1
[ OK ] net.ipv4.icmp_ignore_bogus_error_responses = 1
[ OK ] net.ipv4.conf.all.log_martians = 1
[ OK ] net.ipv4.conf.default.log_martians = 1
[ OK ] net.ipv4.tcp_rfc1337 = 1
[ OK ] net.ipv4.tcp_timestamps = 1

== Rede IPv6 ==
[ OK ] net.ipv6.conf.all.accept_redirects = 0
[ OK ] net.ipv6.conf.default.accept_redirects = 0
[ OK ] net.ipv6.conf.all.accept_ra = 0
[ OK ] net.ipv6.conf.default.accept_ra = 0

== Tuning essencial ==
[ OK ] fs.file-max = 1048576
[ OK ] vm.swappiness = 1
[ OK ] net.core.somaxconn = 65535
[ OK ] net.ipv4.tcp_fin_timeout = 10
[ OK ] net.ipv4.tcp_tw_reuse = 1
[ OK ] net.ipv4.tcp_slow_start_after_idle = 0

Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS
#################################

</pre>

O script pode ser usado em auditorias, automações ou validações periódicas.

Tuning e Hardening - VM

2026-02-18T15:18:05Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Acesse o shell com root e carregue o ambiente completo desse usuário '''(Passo importante)'''
su -

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
# Todos usuários
* soft nofile 104857
* hard nofile 104857

# Root explícito
root soft nofile 104857
root hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T15:09:13Z

Diegocosta: /* VM Base line */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Acesse o shell com root e carregue o ambiente completo desse usuário '''(Passo importante)'''
su -

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T15:08:02Z

Diegocosta: /* VM Base line */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Acesse o shell com root e carrega o ambiente completo desse usuário '''(Passo importante)'''
su -

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T15:07:44Z

Diegocosta: /* VM Base line */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Acesse o shell com root e carrega o ambiente completo desse usuário (Passo importante)
su -

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T15:02:45Z

Diegocosta: /* Script de validação de perfil de VM */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x /bin/sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T15:01:25Z

Diegocosta: /* Aplicação */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
systemctl daemon-reexec
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:57:58Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:57:01Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Aplicar sysctl
sysctl --system

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u
</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:56:49Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Aplicar sysctl
sysctl --system

Abra nova sessão SSH ou shell e valide:

<pre>
ulimit -n
ulimit -u

</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:55:53Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

Para ajustar limites globais systemd
nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Aplicar sysctl
sysctl --system

Ver limites do shell

<pre>
ulimit -n
ulimit -u

</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:46:30Z

Diegocosta: /* Tabela de decisão por tipo de VM */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Para ajustar limites globais systemd
nano /etc/systemd/system.conf

<pre>
DefaultLimitNOFILE=104857
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Aplicar sysctl
sysctl --system

Ver limites do shell

<pre>
ulimit -n
ulimit -u

</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:45:19Z

Diegocosta: /* Script Projeto Root */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente, consulte antes a tabela comparativa dos procedimentos e escolha o que melhor atende às suas necessidades.

== Comparação Script ou Manual ==

{| class="wikitable"
! Critério
! Manual
! Script Automático
! Observação Técnica
|-
| Configuração de parâmetros
| Controle total, definido manualmente
| Aplicação padronizada de perfis
| Manual é melhor para ajuste fino. Script garante consistência entre VMs
|-
| Conflito entre arquivos sysctl
| Possível se configs antigas não forem removidas
| Perfis antigos removidos automaticamente
| Script reduz risco de override silencioso
|-
| Permissões e naming
| Dependem do operador
| Padronizados automaticamente
| Evita arquivo ser ignorado pelo sysctl
|-
| Repetibilidade
| Baixa, difícil reproduzir estado idêntico
| Alta, resultado consistente
| Importante em ambientes com várias VMs
|-
| Auditoria de estado
| Não há controle interno
| Perfil ativo registrado
| Facilita troubleshooting e inventário
|-
| Validação
| Manual via comandos
| Check automático executado
| Reduz erro humano
|-
| Flexibilidade
| Máxima
| Limitada aos perfis
| Manual permite ajustes específicos
|-
| Tempo operacional
| Maior
| Menor
| Diferença cresce com escala
|-
| Probabilidade de erro
| Moderada a alta
| Baixa
| Script reduz etapas manuais
|-
| Diagnóstico futuro
| Mais difícil entender estado aplicado
| Estado rastreável
| Relevante em incidentes
|-
| Escalabilidade
| Baixa
| Alta
| Script adequado para ambientes NOC
|-
| Adequação ambiente pequeno
| Boa escolha
| Pode ser excesso
| Poucas máquinas não justificam automação
|-
| Adequação ambiente grande
| Difícil manter padrão
| Recomendado
| Script ganha valor operacional
|}

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Para ajustar limites globais systemd
nano /etc/systemd/system.conf

<pre>
DefaultLimitNOFILE=104857
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Aplicar sysctl
sysctl --system

Ver limites do shell

<pre>
ulimit -n
ulimit -u

</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:39:35Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após valide a modificação com
ulimit -n

Para ajustar limites globais systemd
nano /etc/systemd/system.conf

<pre>
DefaultLimitNOFILE=104857
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

Verificar com:

systemctl show | grep DefaultLimit

Aplicar sysctl
sysctl --system

Ver limites do shell

<pre>
ulimit -n
ulimit -u

</pre>

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:31:47Z

Diegocosta: /* VM de firewall ou proxy */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-network.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-network.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.tcp_fin_timeout
</pre>

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:30:57Z

Diegocosta: /* VM de banco de dados */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:30:42Z

Diegocosta: /* VM de banco de dados */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-db.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-db.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl vm.overcommit_memory
</pre>

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:29:30Z

Diegocosta: /* VM de aplicação web ou API */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-web.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-web.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_fin_timeout
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-18T14:27:34Z

Diegocosta: /* VM Base line */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

Após ajustar a permissão
chmod 644 /etc/sysctl.d/99-vm-baseline.conf

Para aplicar imediatamente
sysctl -p /etc/sysctl.d/99-vm-baseline.conf

Verifique se as mudanças no kernel foram realizadas

<pre>
sysctl vm.swappiness
sysctl kernel.dmesg_restrict
sysctl fs.protected_symlinks
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - Desktop

2026-02-08T10:27:58Z

Diegocosta: /* 🏃‍♂️ Uso */

Tuning e Hardening - Desktop

2026-02-08T10:17:38Z

Diegocosta: /* 🖥️ Desktop Tuning Manager */

Tuning e Hardening - Desktop

2026-02-08T10:16:53Z

Diegocosta: /* 🏃‍♂️ Uso */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux Desktop,ou seja, para uso em computadores e notebooks voltados para uso cotidiano, como navegar na internet, trabalhar com textos, arquivos, fazer stream, jogar e desenvolver. Se quer otimização para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 5% a 20% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

= 🖥️ Desktop Tuning Manager =

'''Autor:''' Diego Costa (@diegocostaroot)
'''Canal no youtube:''' Projeto Root ([https://www.youtube.com/projetoroot youtube.com/projetoroot])
'''Wiki:''' ([https://wiki.projetoroot.com.br wiki.projetoroot.com.br])
'''Versão:''' 1.0 | '''Ano:''' 2026

Gerenciador de perfis de tuning para Linux Desktop com backup, rollback e relatório HTML de diferenças.

----

== 🔧 Compatibilidade ==

O script foi testado e é compatível com as seguintes distribuições e versões Linux Desktop:

{| class="wikitable"
! Sistema
! Versão Testada
! Observações
|-
| Debian
| 12 / 13
| Requer <code>sysctl</code> instalado, executado como root
|-
| Ubuntu
| 22.04 / 24.04
| Funciona com desktops GNOME/KDE/CLI
|-
| Fedora
| 38 / 39
| Necessário ajustar <code>sysctl.d</code> para SELinux permissivo
|-
| Pop!_OS
| 22.04 / 24.04
| Mesmos requisitos do Ubuntu
|-
| Linux Mint
| 21 / 22
| Testado com Cinnamon e Mate
|-
| Outros
| Qualquer distro Linux moderna
| Requer <code>sysctl</code> e diretórios padrão <code>/etc/sysctl.d</code> e <code>/var/backups/sysctl-tuning</code>
|}

<blockquote>
⚠️ '''Nota:''' Sistemas que não possuem <code>/etc/sysctl.d</code> ou <code>sysctl</code> não são compatíveis. Sempre execute como root.
</blockquote>

----

== 🎛️ Perfis Disponíveis ==

{| class="wikitable"
! Opção
! Perfil
! Arquivo Criado
! Efeito Principal
|-
| 1️⃣
| '''Desktop Geral'''
| <code>99-desktop-baseline.conf</code>
| ⚡ Baseline básico do sysctl, sem ajustes extras
|-
| 2️⃣
| '''Gaming'''
| <code>99-desktop-gaming.conf</code>
| 🎮 Otimizações TCP e memória para jogos, conexões e backlog aumentados
|-
| 3️⃣
| '''Laptop Economia'''
| <code>99-desktop-laptop.conf</code>
| 💡 Economia de energia, swappiness médio, opcional runtime power saving (CPU, brilho, I/O)
|-
| 4️⃣
| '''Dev Workstation'''
| <code>99-desktop-dev.conf</code>
| 💻 Limites altos de arquivos, processos e swappiness baixo para desenvolvimento
|-
| 5️⃣
| '''Streaming OBS'''
| <code>99-desktop-streaming.conf</code>
| 📹 Buffers de rede maiores, swappiness baixo, otimização para streaming
|-
| 6️⃣
| '''Economia de Energia'''
| <code>99-desktop-powersave.conf</code>
| 🌱 Swappiness alto, cache pressure e scheduling para economia geral de energia
|-
| 7️⃣
| '''Restaurar Backup'''
| <code>99-rollback-manual.conf</code>
| 🔄 Restaura qualquer backup válido do sysctl (runtime + permanente)
|}

<blockquote>
⚠️ '''Nota:''' Opção 7 lista todos os backups disponíveis em <code>/var/backups/sysctl-tuning</code> e pede confirmação antes de restaurar.
</blockquote>

----

== 📋 Fluxo de Execução ==

# 💾 Cria backup atual do sysctl em <code>/var/backups/sysctl-tuning</code>
# 📝 Captura snapshot '''Antes'''
# 🔍 Detecta perfil ativo
# 🖱️ Menu para escolher perfil
# 🚫 Bloqueia reaplicação do mesmo perfil
# 🗑️ Remove perfis antigos e aplica '''baseline'''
# ⚙️ Aplica perfil escolhido
# 🔧 Aplica <code>sysctl --system</code> e faz rollback automático em caso de erro
# 📝 Captura snapshot '''Depois'''
# 🌐 Gera relatório HTML comparando antes/depois

----

== 📄 Relatórios Gerados ==

{| class="wikitable"
! Arquivo
! Conteúdo
|-
| <code>sysctl_before_YYYY-MM-DD-HH-MM-SS.txt</code>
| Estado do sysctl '''antes''' do tuning
|-
| <code>sysctl_after_YYYY-MM-DD-HH-MM-SS.txt</code>
| Estado do sysctl '''após''' o tuning
|-
| <code>sysctl_diff_YYYY-MM-DD-HH-MM-SS.html</code>
| 💻 Relatório visual comparando antes e depois, com cores para valores adicionados ou removidos
|}

----

== ⚙️ Requisitos ==

* Linux com <code>sysctl</code>
* Executar o script como '''root'''
* Diretório para salvar relatórios existente

----

== 🏃‍♂️ Uso ==

wget https://raw.githubusercontent.com/projetoroot/tuning-desktop/refs/heads/main/desktop-tuning-manager.sh
sudo bash desktop-tuning-manager.sh

Tuning e Hardening - Desktop

2026-02-08T10:16:20Z

Diegocosta: Criou página com '== Sobre == Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux Desktop,ou seja, para uso em computadores e notebooks voltados para uso cotidiano, como navegar na internet, trabalhar com textos, arquivos, fazer stream, jogar e desenvolver. Se quer otimização para máquinas virtual veja a página dedicada para VM em Tuning_e_Hardening_-_VM . Sendo este procedimento realizado para aumentar o desempenho entre 5% a 20% depende...'

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux Desktop,ou seja, para uso em computadores e notebooks voltados para uso cotidiano, como navegar na internet, trabalhar com textos, arquivos, fazer stream, jogar e desenvolver. Se quer otimização para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 5% a 20% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

= 🖥️ Desktop Tuning Manager =

'''Autor:''' Diego Costa (@diegocostaroot)
'''Canal no youtube:''' Projeto Root ([https://www.youtube.com/projetoroot youtube.com/projetoroot])
'''Wiki:''' ([https://wiki.projetoroot.com.br wiki.projetoroot.com.br])
'''Versão:''' 1.0 | '''Ano:''' 2026

Gerenciador de perfis de tuning para Linux Desktop com backup, rollback e relatório HTML de diferenças.

----

== 🔧 Compatibilidade ==

O script foi testado e é compatível com as seguintes distribuições e versões Linux Desktop:

{| class="wikitable"
! Sistema
! Versão Testada
! Observações
|-
| Debian
| 12 / 13
| Requer <code>sysctl</code> instalado, executado como root
|-
| Ubuntu
| 22.04 / 24.04
| Funciona com desktops GNOME/KDE/CLI
|-
| Fedora
| 38 / 39
| Necessário ajustar <code>sysctl.d</code> para SELinux permissivo
|-
| Pop!_OS
| 22.04 / 24.04
| Mesmos requisitos do Ubuntu
|-
| Linux Mint
| 21 / 22
| Testado com Cinnamon e Mate
|-
| Outros
| Qualquer distro Linux moderna
| Requer <code>sysctl</code> e diretórios padrão <code>/etc/sysctl.d</code> e <code>/var/backups/sysctl-tuning</code>
|}

<blockquote>
⚠️ '''Nota:''' Sistemas que não possuem <code>/etc/sysctl.d</code> ou <code>sysctl</code> não são compatíveis. Sempre execute como root.
</blockquote>

----

== 🎛️ Perfis Disponíveis ==

{| class="wikitable"
! Opção
! Perfil
! Arquivo Criado
! Efeito Principal
|-
| 1️⃣
| '''Desktop Geral'''
| <code>99-desktop-baseline.conf</code>
| ⚡ Baseline básico do sysctl, sem ajustes extras
|-
| 2️⃣
| '''Gaming'''
| <code>99-desktop-gaming.conf</code>
| 🎮 Otimizações TCP e memória para jogos, conexões e backlog aumentados
|-
| 3️⃣
| '''Laptop Economia'''
| <code>99-desktop-laptop.conf</code>
| 💡 Economia de energia, swappiness médio, opcional runtime power saving (CPU, brilho, I/O)
|-
| 4️⃣
| '''Dev Workstation'''
| <code>99-desktop-dev.conf</code>
| 💻 Limites altos de arquivos, processos e swappiness baixo para desenvolvimento
|-
| 5️⃣
| '''Streaming OBS'''
| <code>99-desktop-streaming.conf</code>
| 📹 Buffers de rede maiores, swappiness baixo, otimização para streaming
|-
| 6️⃣
| '''Economia de Energia'''
| <code>99-desktop-powersave.conf</code>
| 🌱 Swappiness alto, cache pressure e scheduling para economia geral de energia
|-
| 7️⃣
| '''Restaurar Backup'''
| <code>99-rollback-manual.conf</code>
| 🔄 Restaura qualquer backup válido do sysctl (runtime + permanente)
|}

<blockquote>
⚠️ '''Nota:''' Opção 7 lista todos os backups disponíveis em <code>/var/backups/sysctl-tuning</code> e pede confirmação antes de restaurar.
</blockquote>

----

== 📋 Fluxo de Execução ==

# 💾 Cria backup atual do sysctl em <code>/var/backups/sysctl-tuning</code>
# 📝 Captura snapshot '''Antes'''
# 🔍 Detecta perfil ativo
# 🖱️ Menu para escolher perfil
# 🚫 Bloqueia reaplicação do mesmo perfil
# 🗑️ Remove perfis antigos e aplica '''baseline'''
# ⚙️ Aplica perfil escolhido
# 🔧 Aplica <code>sysctl --system</code> e faz rollback automático em caso de erro
# 📝 Captura snapshot '''Depois'''
# 🌐 Gera relatório HTML comparando antes/depois

----

== 📄 Relatórios Gerados ==

{| class="wikitable"
! Arquivo
! Conteúdo
|-
| <code>sysctl_before_YYYY-MM-DD-HH-MM-SS.txt</code>
| Estado do sysctl '''antes''' do tuning
|-
| <code>sysctl_after_YYYY-MM-DD-HH-MM-SS.txt</code>
| Estado do sysctl '''após''' o tuning
|-
| <code>sysctl_diff_YYYY-MM-DD-HH-MM-SS.html</code>
| 💻 Relatório visual comparando antes e depois, com cores para valores adicionados ou removidos
|}

----

== ⚙️ Requisitos ==

* Linux com <code>sysctl</code>
* Executar o script como '''root'''
* Diretório para salvar relatórios existente

----

== 🏃‍♂️ Uso ==

bash
wget https://raw.githubusercontent.com/projetoroot/tuning-desktop/refs/heads/main/desktop-tuning-manager.sh
sudo bash desktop-tuning-manager.sh

Tuning e Hardening - VM

2026-02-07T21:06:23Z

Diegocosta: /* Prefixo 99 */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-vm

Para instalar automaticamente faça:

Acesse sua VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-vm/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-07T20:56:11Z

Diegocosta: /* Hardening adicional dentro das VMs */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - Host

2026-02-07T20:17:44Z

Diegocosta: /* Script Projeto Root */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux no bare metal,ou seja, no servidor físico, para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''Compatibilidade''': Este conjunto de parâmetros sysctl é compatível com distribuições Linux que utilizam kernel Linux 5.4 ou superior.

<pre>
Distribuições testadas e compatíveis:
- Debian 11, 12 e 13
- Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS
- Proxmox VE 7, 8 e 9
- Rocky Linux 8 e 9
- AlmaLinux 8 e 9
- RHEL 8 e 9
</pre>

= Kernel Tuning e Hardening =

Este projeto apresenta um conjunto de configurações e scripts para ajuste de desempenho (tuning) e endurecimento de segurança (hardening) do kernel Linux.

O foco é melhorar estabilidade, capacidade de rede e segurança do sistema, sem desabilitar proteções críticas do kernel ou utilizar parâmetros obsoletos.

== Objetivos ==

* Ajustar parâmetros do kernel para servidores
* Reduzir superfície de ataque
* Manter compatibilidade com auditorias técnicas
* Fornecer mecanismo simples de validação

== Escopo ==

Estas configurações foram pensadas para:

* Servidores Linux listados como compatíveis
* Ambientes físicos ou virtualizados
* Serviços de rede e infraestrutura
* Uso institucional ou pessoal

== Tabela impacto e o objetivo ==

Esta tabela descreve o impacto e o objetivo de cada grupo de ajustes aplicados diretamente no host, considerando estabilidade, segurança e isolamento entre VMs.

{| class="wikitable" style="text-align:left;"
! Componente do host
! Objetivo do hardening
! Ajustes aplicados
! Benefícios práticos
! Cuidados / Observações
|-
| '''Kernel Linux'''
| Reduzir superfície de ataque do host
| Proteções de symlink e hardlink, restrição de dmesg, ptrace limitado, ASLR forçado
| Dificulta escalonamento de privilégios e vazamento de informações do kernel
| Pode impactar ferramentas de debug no host
|-
| '''Filesystem'''
| Evitar abuso de recursos do sistema
| fs.file-max elevado, desativação de core dumps setuid
| Previne esgotamento de descritores e vazamento de memória sensível
| Ajustes devem considerar capacidade real do host
|-
| '''Memória'''
| Priorizar VMs em vez do host
| swappiness baixo, mmap mínimo elevado
| Reduz uso de swap no host e melhora previsibilidade
| Swap ainda é necessária para estabilidade extrema
|-
| '''Scheduler'''
| Evitar priorização automática indevida
| Desativação de autogroup, ajuste de migration cost
| Menos jitter e melhor previsibilidade para cargas de virtualização
| Pode reduzir responsividade em sessões interativas
|-
| '''Rede IPv4'''
| Proteger o host contra ataques de rede
| rp_filter, desativar redirects, source routing, log de pacotes inválidos
| Reduz spoofing, ataques de rota e tráfego malformado
| Não interfere no tráfego das VMs
|-
| '''Stack TCP'''
| Estabilidade e proteção básica
| SYN cookies, redução de retries, timeout controlado
| Mitiga ataques de SYN flood e conexões zumbis
| Host não deve ser usado como servidor de aplicação
|-
| '''ARP / Neighbor cache'''
| Estabilidade em ambientes grandes
| Limites elevados de gc_thresh, intervalos menores
| Evita estouro de cache ARP em ambientes com muitas VMs
| Valores devem crescer conforme número de VMs
|-
| '''IPv6'''
| Reduzir exposição desnecessária
| Desativação de RA e redirects no host
| Evita configuração automática indevida de rotas
| Não afeta IPv6 interno das VMs
|-
| '''Virtualização'''
| Isolamento entre guests
| Kernel hardening padrão + KVM intacto
| Reduz risco de impacto de uma VM comprometida
| Não substitui atualizações de segurança
|}

== Estrutura do projeto ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

{| class="wikitable"
! Caminho !! Descrição
|-
| /etc/sysctl/99-custom.conf || Ajustes de desempenho
|-
| /etc/sysctl/99-hardening.conf || Ajustes de segurança
|-
| /bin/sysctl-check.sh || Script de validação
|}

== Decisões de segurança ==

* Mitigações de Meltdown e Spectre permanecem ativas
* Nenhum parâmetro depreciado ou removido é utilizado
* Hardening aplicado sem impacto relevante de desempenho

== Aviso ==

Estas configurações devem ser testadas em ambiente controlado antes da aplicação em produção.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-host

Para instalar automaticamente faça:

Acesse seu servidor/VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-host/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

= Kernel Tuning – sysctl =
Crie o arquivo 99-custom.conf

nano /etc/sysctl.d/99-custom.conf

== Arquivo: 99-custom.conf ==
Copie e cole o conteúdo abaixo no arquivo
<pre>
############################
# Limites de arquivos
############################
# Define o número máximo de arquivos abertos no sistema
fs.file-max = 1048576
############################
# Gerenciamento de memória
############################
# Reduz uso de swap, priorizando memória RAM
vm.swappiness = 1
############################
# Portas efêmeras e conexões
############################
# Intervalo de portas locais para conexões de saída
net.ipv4.ip_local_port_range = 10000 65000
# Número máximo de conexões pendentes no listen
net.core.somaxconn = 65535
############################
# Buffers globais de rede
############################
# Buffer máximo de recepção
net.core.rmem_max = 16777216
# Buffer máximo de envio
net.core.wmem_max = 16777216
# Buffer padrão de recepção
net.core.rmem_default = 262144
# Buffer padrão de envio
net.core.wmem_default = 262144
############################
# Buffers TCP
############################
# Buffer TCP de recepção: min, default e max
net.ipv4.tcp_rmem = 4096 87380 16777216
# Buffer TCP de envio: min, default e max
net.ipv4.tcp_wmem = 4096 65536 16777216
############################
# Filas e backlog
############################
# Fila máxima de pacotes por interface
net.core.netdev_max_backlog = 50000
# Máximo de conexões SYN pendentes
net.ipv4.tcp_max_syn_backlog = 32768
# Limite de conexões em TIME_WAIT
net.ipv4.tcp_max_tw_buckets = 262144
############################
# Otimizações TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de espera no fechamento TCP
net.ipv4.tcp_fin_timeout = 10
# Evita reinício lento após ociosidade
net.ipv4.tcp_slow_start_after_idle = 0
# Reduz tentativas de SYN
net.ipv4.tcp_syn_retries = 3
# Reduz tentativas de SYN-ACK
net.ipv4.tcp_synack_retries = 3
############################
# Buffers UDP
############################
# Buffer mínimo de recepção UDP
net.ipv4.udp_rmem_min = 8192
# Buffer mínimo de envio UDP
net.ipv4.udp_wmem_min = 8192
############################
# Ajustes de TCP
############################
# Ativa escalonamento de janela TCP
net.ipv4.tcp_window_scaling = 1
############################
# Hardening IPv4
############################
# Não enviar redirecionamentos ICMP
net.ipv4.conf.all.send_redirects = 0
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
############################
# Scheduler do kernel
############################
# Reduz migração excessiva de processos entre CPUs
kernel.sched_migration_cost_ns = 5000000
# Desativa agrupamento automático de processos
kernel.sched_autogroup_enabled = 0
############################
# Cache ARP
############################
# Intervalo de coleta de entradas ARP
net.ipv4.neigh.default.gc_interval = 15
# Limite inicial do cache ARP
net.ipv4.neigh.default.gc_thresh1 = 4096
# Limite intermediário do cache ARP
net.ipv4.neigh.default.gc_thresh2 = 8192
# Limite máximo do cache ARP
net.ipv4.neigh.default.gc_thresh3 = 16384

</pre>

== Observações ==

* Os valores priorizam estabilidade e throughput
* Não há impacto negativo em segurança
* Compatível com cargas de rede elevadas

= Kernel Hardening – sysctl =

Crie o arquivo 99-hardening.conf

nano /etc/sysctl.d/99-hardening.conf

== Arquivo: 99-hardening.conf ==
Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Kernel hardening baseline
############################
# Proteção de links simbólicos e hardlinks
fs.protected_hardlinks = 1
fs.protected_symlinks = 1
fs.protected_fifos = 1
fs.protected_regular = 1
# Restringir acesso ao dmesg
kernel.dmesg_restrict = 1
# Restringir acesso a ponteiros do kernel
kernel.kptr_restrict = 2
# Evitar core dumps de binários setuid
fs.suid_dumpable = 0
# Endurecer uso de ptrace
kernel.yama.ptrace_scope = 1
############################
# Hardening de rede IPv4
############################
# Proteção contra IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Não enviar redirecionamentos
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Ativar SYN cookies
net.ipv4.tcp_syncookies = 1
# Ignorar ICMP suspeitos
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

</pre>

= Aplicação das configurações sysctl =

As configurações de tuning e hardening devem ser aplicadas por meio de arquivos
no diretório /etc/sysctl.d/.

Não é recomendado editar diretamente o arquivo /etc/sysctl.conf.

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

= Validação das configurações sysctl =

O script sysctl-check.sh valida se os parâmetros definidos estão ativos
no kernel em tempo de execução.

== Script de validação ==

nano /bin/sysctl-check.sh

<pre>
#!/bin/bash

echo "Validação de sysctl - tuning e hardening"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

echo "== Kernel hardening =="
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check kernel.yama.ptrace_scope 1
check kernel.randomize_va_space 2
check vm.mmap_min_addr 65536

echo
echo "== Rede IPv4 =="
check net.ipv4.conf.all.rp_filter 1
check net.ipv4.conf.default.rp_filter 1
check net.ipv4.conf.all.accept_redirects 0
check net.ipv4.conf.default.accept_redirects 0
check net.ipv4.conf.all.send_redirects 0
check net.ipv4.conf.default.send_redirects 0
check net.ipv4.conf.all.accept_source_route 0
check net.ipv4.conf.default.accept_source_route 0
check net.ipv4.tcp_syncookies 1
check net.ipv4.icmp_echo_ignore_broadcasts 1
check net.ipv4.icmp_ignore_bogus_error_responses 1
check net.ipv4.conf.all.log_martians 1
check net.ipv4.conf.default.log_martians 1
check net.ipv4.tcp_rfc1337 1
check net.ipv4.tcp_timestamps 1

echo
echo "== Rede IPv6 =="
check net.ipv6.conf.all.accept_redirects 0
check net.ipv6.conf.default.accept_redirects 0
check net.ipv6.conf.all.accept_ra 0
check net.ipv6.conf.default.accept_ra 0

echo
echo "== Tuning essencial =="
check fs.file-max 1048576
check vm.swappiness 1
check net.core.somaxconn 65535
check net.ipv4.tcp_fin_timeout 10
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_slow_start_after_idle 0

echo
if [ $FAIL -eq 0 ]; then
echo "Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO"
exit 1
fi

</pre>

Saia do arquivo e de permissão de execução.
chmod +x /bin/sysctl-check.sh

Executando:
sysctl-check.sh

== Resultado ==

<pre>
#################################
Validação de sysctl - tuning e hardening
Host: debian-base
Data: qua 18 fev 2026 18:18:18 -03

== Kernel hardening ==
[ OK ] fs.protected_hardlinks = 1
[ OK ] fs.protected_symlinks = 1
[ OK ] fs.protected_fifos = 1
[ OK ] fs.protected_regular = 1
[ OK ] kernel.dmesg_restrict = 1
[ OK ] kernel.kptr_restrict = 2
[ OK ] fs.suid_dumpable = 0
[ OK ] kernel.yama.ptrace_scope = 1
[ OK ] kernel.randomize_va_space = 2
[ OK ] vm.mmap_min_addr = 65536

== Rede IPv4 ==
[ OK ] net.ipv4.conf.all.rp_filter = 1
[ OK ] net.ipv4.conf.default.rp_filter = 1
[ OK ] net.ipv4.conf.all.accept_redirects = 0
[ OK ] net.ipv4.conf.default.accept_redirects = 0
[ OK ] net.ipv4.conf.all.send_redirects = 0
[ OK ] net.ipv4.conf.default.send_redirects = 0
[ OK ] net.ipv4.conf.all.accept_source_route = 0
[ OK ] net.ipv4.conf.default.accept_source_route = 0
[ OK ] net.ipv4.tcp_syncookies = 1
[ OK ] net.ipv4.icmp_echo_ignore_broadcasts = 1
[ OK ] net.ipv4.icmp_ignore_bogus_error_responses = 1
[ OK ] net.ipv4.conf.all.log_martians = 1
[ OK ] net.ipv4.conf.default.log_martians = 1
[ OK ] net.ipv4.tcp_rfc1337 = 1
[ OK ] net.ipv4.tcp_timestamps = 1

== Rede IPv6 ==
[ OK ] net.ipv6.conf.all.accept_redirects = 0
[ OK ] net.ipv6.conf.default.accept_redirects = 0
[ OK ] net.ipv6.conf.all.accept_ra = 0
[ OK ] net.ipv6.conf.default.accept_ra = 0

== Tuning essencial ==
[ OK ] fs.file-max = 1048576
[ OK ] vm.swappiness = 1
[ OK ] net.core.somaxconn = 65535
[ OK ] net.ipv4.tcp_fin_timeout = 10
[ OK ] net.ipv4.tcp_tw_reuse = 1
[ OK ] net.ipv4.tcp_slow_start_after_idle = 0

Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS
#################################

</pre>

O script pode ser usado em auditorias, automações ou validações periódicas.

Tuning e Hardening - Host

2026-02-07T20:17:23Z

Diegocosta: /* Aviso */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux no bare metal,ou seja, no servidor físico, para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''Compatibilidade''': Este conjunto de parâmetros sysctl é compatível com distribuições Linux que utilizam kernel Linux 5.4 ou superior.

<pre>
Distribuições testadas e compatíveis:
- Debian 11, 12 e 13
- Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS
- Proxmox VE 7, 8 e 9
- Rocky Linux 8 e 9
- AlmaLinux 8 e 9
- RHEL 8 e 9
</pre>

= Kernel Tuning e Hardening =

Este projeto apresenta um conjunto de configurações e scripts para ajuste de desempenho (tuning) e endurecimento de segurança (hardening) do kernel Linux.

O foco é melhorar estabilidade, capacidade de rede e segurança do sistema, sem desabilitar proteções críticas do kernel ou utilizar parâmetros obsoletos.

== Objetivos ==

* Ajustar parâmetros do kernel para servidores
* Reduzir superfície de ataque
* Manter compatibilidade com auditorias técnicas
* Fornecer mecanismo simples de validação

== Escopo ==

Estas configurações foram pensadas para:

* Servidores Linux listados como compatíveis
* Ambientes físicos ou virtualizados
* Serviços de rede e infraestrutura
* Uso institucional ou pessoal

== Tabela impacto e o objetivo ==

Esta tabela descreve o impacto e o objetivo de cada grupo de ajustes aplicados diretamente no host, considerando estabilidade, segurança e isolamento entre VMs.

{| class="wikitable" style="text-align:left;"
! Componente do host
! Objetivo do hardening
! Ajustes aplicados
! Benefícios práticos
! Cuidados / Observações
|-
| '''Kernel Linux'''
| Reduzir superfície de ataque do host
| Proteções de symlink e hardlink, restrição de dmesg, ptrace limitado, ASLR forçado
| Dificulta escalonamento de privilégios e vazamento de informações do kernel
| Pode impactar ferramentas de debug no host
|-
| '''Filesystem'''
| Evitar abuso de recursos do sistema
| fs.file-max elevado, desativação de core dumps setuid
| Previne esgotamento de descritores e vazamento de memória sensível
| Ajustes devem considerar capacidade real do host
|-
| '''Memória'''
| Priorizar VMs em vez do host
| swappiness baixo, mmap mínimo elevado
| Reduz uso de swap no host e melhora previsibilidade
| Swap ainda é necessária para estabilidade extrema
|-
| '''Scheduler'''
| Evitar priorização automática indevida
| Desativação de autogroup, ajuste de migration cost
| Menos jitter e melhor previsibilidade para cargas de virtualização
| Pode reduzir responsividade em sessões interativas
|-
| '''Rede IPv4'''
| Proteger o host contra ataques de rede
| rp_filter, desativar redirects, source routing, log de pacotes inválidos
| Reduz spoofing, ataques de rota e tráfego malformado
| Não interfere no tráfego das VMs
|-
| '''Stack TCP'''
| Estabilidade e proteção básica
| SYN cookies, redução de retries, timeout controlado
| Mitiga ataques de SYN flood e conexões zumbis
| Host não deve ser usado como servidor de aplicação
|-
| '''ARP / Neighbor cache'''
| Estabilidade em ambientes grandes
| Limites elevados de gc_thresh, intervalos menores
| Evita estouro de cache ARP em ambientes com muitas VMs
| Valores devem crescer conforme número de VMs
|-
| '''IPv6'''
| Reduzir exposição desnecessária
| Desativação de RA e redirects no host
| Evita configuração automática indevida de rotas
| Não afeta IPv6 interno das VMs
|-
| '''Virtualização'''
| Isolamento entre guests
| Kernel hardening padrão + KVM intacto
| Reduz risco de impacto de uma VM comprometida
| Não substitui atualizações de segurança
|}

== Estrutura do projeto ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

{| class="wikitable"
! Caminho !! Descrição
|-
| /etc/sysctl/99-custom.conf || Ajustes de desempenho
|-
| /etc/sysctl/99-hardening.conf || Ajustes de segurança
|-
| /bin/sysctl-check.sh || Script de validação
|}

== Decisões de segurança ==

* Mitigações de Meltdown e Spectre permanecem ativas
* Nenhum parâmetro depreciado ou removido é utilizado
* Hardening aplicado sem impacto relevante de desempenho

== Aviso ==

Estas configurações devem ser testadas em ambiente controlado antes da aplicação em produção.

== Script Projeto Root ==
Para facilitar deixamos um script para fazer todo o processo de forma automatizada, assim agilizando o processo de instalação, caso queira utilizar veja:

https://github.com/projetoroot/tuning-host

Para instalar automaticamente faça:

Acesse seu servidor/VM ( Linux que será aplicado o tuning ) por ssh com usuário root e execute a linha abaixo
wget https://raw.githubusercontent.com/projetoroot/tuning-host/refs/heads/main/install.sh && bash install.sh

Caso queira instalar manualmente veja abaixo os procedimentos

= Kernel Tuning – sysctl =
Crie o arquivo 99-custom.conf

nano /etc/sysctl.d/99-custom.conf

== Arquivo: 99-custom.conf ==
Copie e cole o conteúdo abaixo no arquivo
<pre>
############################
# Limites de arquivos
############################
# Define o número máximo de arquivos abertos no sistema
fs.file-max = 1048576
############################
# Gerenciamento de memória
############################
# Reduz uso de swap, priorizando memória RAM
vm.swappiness = 1
############################
# Portas efêmeras e conexões
############################
# Intervalo de portas locais para conexões de saída
net.ipv4.ip_local_port_range = 10000 65000
# Número máximo de conexões pendentes no listen
net.core.somaxconn = 65535
############################
# Buffers globais de rede
############################
# Buffer máximo de recepção
net.core.rmem_max = 16777216
# Buffer máximo de envio
net.core.wmem_max = 16777216
# Buffer padrão de recepção
net.core.rmem_default = 262144
# Buffer padrão de envio
net.core.wmem_default = 262144
############################
# Buffers TCP
############################
# Buffer TCP de recepção: min, default e max
net.ipv4.tcp_rmem = 4096 87380 16777216
# Buffer TCP de envio: min, default e max
net.ipv4.tcp_wmem = 4096 65536 16777216
############################
# Filas e backlog
############################
# Fila máxima de pacotes por interface
net.core.netdev_max_backlog = 50000
# Máximo de conexões SYN pendentes
net.ipv4.tcp_max_syn_backlog = 32768
# Limite de conexões em TIME_WAIT
net.ipv4.tcp_max_tw_buckets = 262144
############################
# Otimizações TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de espera no fechamento TCP
net.ipv4.tcp_fin_timeout = 10
# Evita reinício lento após ociosidade
net.ipv4.tcp_slow_start_after_idle = 0
# Reduz tentativas de SYN
net.ipv4.tcp_syn_retries = 3
# Reduz tentativas de SYN-ACK
net.ipv4.tcp_synack_retries = 3
############################
# Buffers UDP
############################
# Buffer mínimo de recepção UDP
net.ipv4.udp_rmem_min = 8192
# Buffer mínimo de envio UDP
net.ipv4.udp_wmem_min = 8192
############################
# Ajustes de TCP
############################
# Ativa escalonamento de janela TCP
net.ipv4.tcp_window_scaling = 1
############################
# Hardening IPv4
############################
# Não enviar redirecionamentos ICMP
net.ipv4.conf.all.send_redirects = 0
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
############################
# Scheduler do kernel
############################
# Reduz migração excessiva de processos entre CPUs
kernel.sched_migration_cost_ns = 5000000
# Desativa agrupamento automático de processos
kernel.sched_autogroup_enabled = 0
############################
# Cache ARP
############################
# Intervalo de coleta de entradas ARP
net.ipv4.neigh.default.gc_interval = 15
# Limite inicial do cache ARP
net.ipv4.neigh.default.gc_thresh1 = 4096
# Limite intermediário do cache ARP
net.ipv4.neigh.default.gc_thresh2 = 8192
# Limite máximo do cache ARP
net.ipv4.neigh.default.gc_thresh3 = 16384

</pre>

== Observações ==

* Os valores priorizam estabilidade e throughput
* Não há impacto negativo em segurança
* Compatível com cargas de rede elevadas

= Kernel Hardening – sysctl =

Crie o arquivo 99-hardening.conf

nano /etc/sysctl.d/99-hardening.conf

== Arquivo: 99-hardening.conf ==
Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Kernel hardening baseline
############################
# Proteção de links simbólicos e hardlinks
fs.protected_hardlinks = 1
fs.protected_symlinks = 1
fs.protected_fifos = 1
fs.protected_regular = 1
# Restringir acesso ao dmesg
kernel.dmesg_restrict = 1
# Restringir acesso a ponteiros do kernel
kernel.kptr_restrict = 2
# Evitar core dumps de binários setuid
fs.suid_dumpable = 0
# Endurecer uso de ptrace
kernel.yama.ptrace_scope = 1
############################
# Hardening de rede IPv4
############################
# Proteção contra IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Não enviar redirecionamentos
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Ativar SYN cookies
net.ipv4.tcp_syncookies = 1
# Ignorar ICMP suspeitos
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

</pre>

= Aplicação das configurações sysctl =

As configurações de tuning e hardening devem ser aplicadas por meio de arquivos
no diretório /etc/sysctl.d/.

Não é recomendado editar diretamente o arquivo /etc/sysctl.conf.

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

= Validação das configurações sysctl =

O script sysctl-check.sh valida se os parâmetros definidos estão ativos
no kernel em tempo de execução.

== Script de validação ==

nano /bin/sysctl-check.sh

<pre>
#!/bin/bash

echo "Validação de sysctl - tuning e hardening"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

echo "== Kernel hardening =="
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check kernel.yama.ptrace_scope 1
check kernel.randomize_va_space 2
check vm.mmap_min_addr 65536

echo
echo "== Rede IPv4 =="
check net.ipv4.conf.all.rp_filter 1
check net.ipv4.conf.default.rp_filter 1
check net.ipv4.conf.all.accept_redirects 0
check net.ipv4.conf.default.accept_redirects 0
check net.ipv4.conf.all.send_redirects 0
check net.ipv4.conf.default.send_redirects 0
check net.ipv4.conf.all.accept_source_route 0
check net.ipv4.conf.default.accept_source_route 0
check net.ipv4.tcp_syncookies 1
check net.ipv4.icmp_echo_ignore_broadcasts 1
check net.ipv4.icmp_ignore_bogus_error_responses 1
check net.ipv4.conf.all.log_martians 1
check net.ipv4.conf.default.log_martians 1
check net.ipv4.tcp_rfc1337 1
check net.ipv4.tcp_timestamps 1

echo
echo "== Rede IPv6 =="
check net.ipv6.conf.all.accept_redirects 0
check net.ipv6.conf.default.accept_redirects 0
check net.ipv6.conf.all.accept_ra 0
check net.ipv6.conf.default.accept_ra 0

echo
echo "== Tuning essencial =="
check fs.file-max 1048576
check vm.swappiness 1
check net.core.somaxconn 65535
check net.ipv4.tcp_fin_timeout 10
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_slow_start_after_idle 0

echo
if [ $FAIL -eq 0 ]; then
echo "Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO"
exit 1
fi

</pre>

Saia do arquivo e de permissão de execução.
chmod +x /bin/sysctl-check.sh

Executando:
sysctl-check.sh

== Resultado ==

<pre>
#################################
Validação de sysctl - tuning e hardening
Host: debian-base
Data: qua 18 fev 2026 18:18:18 -03

== Kernel hardening ==
[ OK ] fs.protected_hardlinks = 1
[ OK ] fs.protected_symlinks = 1
[ OK ] fs.protected_fifos = 1
[ OK ] fs.protected_regular = 1
[ OK ] kernel.dmesg_restrict = 1
[ OK ] kernel.kptr_restrict = 2
[ OK ] fs.suid_dumpable = 0
[ OK ] kernel.yama.ptrace_scope = 1
[ OK ] kernel.randomize_va_space = 2
[ OK ] vm.mmap_min_addr = 65536

== Rede IPv4 ==
[ OK ] net.ipv4.conf.all.rp_filter = 1
[ OK ] net.ipv4.conf.default.rp_filter = 1
[ OK ] net.ipv4.conf.all.accept_redirects = 0
[ OK ] net.ipv4.conf.default.accept_redirects = 0
[ OK ] net.ipv4.conf.all.send_redirects = 0
[ OK ] net.ipv4.conf.default.send_redirects = 0
[ OK ] net.ipv4.conf.all.accept_source_route = 0
[ OK ] net.ipv4.conf.default.accept_source_route = 0
[ OK ] net.ipv4.tcp_syncookies = 1
[ OK ] net.ipv4.icmp_echo_ignore_broadcasts = 1
[ OK ] net.ipv4.icmp_ignore_bogus_error_responses = 1
[ OK ] net.ipv4.conf.all.log_martians = 1
[ OK ] net.ipv4.conf.default.log_martians = 1
[ OK ] net.ipv4.tcp_rfc1337 = 1
[ OK ] net.ipv4.tcp_timestamps = 1

== Rede IPv6 ==
[ OK ] net.ipv6.conf.all.accept_redirects = 0
[ OK ] net.ipv6.conf.default.accept_redirects = 0
[ OK ] net.ipv6.conf.all.accept_ra = 0
[ OK ] net.ipv6.conf.default.accept_ra = 0

== Tuning essencial ==
[ OK ] fs.file-max = 1048576
[ OK ] vm.swappiness = 1
[ OK ] net.core.somaxconn = 65535
[ OK ] net.ipv4.tcp_fin_timeout = 10
[ OK ] net.ipv4.tcp_tw_reuse = 1
[ OK ] net.ipv4.tcp_slow_start_after_idle = 0

Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS
#################################

</pre>

O script pode ser usado em auditorias, automações ou validações periódicas.

Tuning e Hardening - VM

2026-02-06T23:44:24Z

Diegocosta: /* Sobre */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - VM

2026-02-06T23:43:53Z

Diegocosta: /* Sobre */

== Sobre ==
lá! Visitante, reunimos aqui, informações sobre o processo de tuning e hardening em máquinas virtuais (VMs) executadas sobre hosts Proxmox VE previamente ajustados ,ou seja, no servidor virtual, para máquinas bare metal veja a página dedicada para host em [[Tuning_e_Hardening_-_Host]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

Este documento descreve a aplicação de .

'''O princípio adotado é a separação de responsabilidades:'''

* O host Proxmox é responsável por tuning agressivo de rede, I/O e CPU.

* As VMs aplicam hardening de segurança e tuning leve, focado no serviço.

* Nenhuma VM deve repetir os ajustes globais do host.

Todos os exemplos abaixo utilizam parâmetros sysctl, compatíveis com:
<pre>
* Debian 11, 12 e 13
* Ubuntu Server 20.04 LTS ou superior
</pre>

== Tabela de decisão por tipo de VM ==

Esta tabela define quais ajustes aplicar em cada tipo de VM, evitando tuning excessivo e conflitos com o host Proxmox.

{| class="wikitable" style="text-align:left;"
! Tipo de VM
! Objetivo principal
! Arquivo sysctl recomendado
! Ajustes aplicados
! Ajustes a evitar
|-
| '''VM Base line'''
| Hardening mínimo comum
| <code>99-vm-baseline.conf</code>
| Hardening de kernel, proteção de filesystem, redução leve de swap
| Backlog alto, buffers de rede elevados
|-
| '''VM Web / API'''
| Muitas conexões simultâneas
| <code>99-vm-web.conf</code>
| somaxconn moderado, backlog TCP, reuso de conexões
| Buffers TCP máximos, netdev backlog elevado
|-
| '''VM Banco de Dados'''
| Consistência e memória
| <code>99-vm-db.conf</code>
| swappiness mínimo, controle de overcommit
| Tuning agressivo de rede
|-
| '''VM Firewall / Proxy'''
| Processamento de tráfego
| <code>99-vm-network.conf</code>
| backlog de pacotes, fila TCP maior
| Valores idênticos aos do host
|-
| '''VM Genérica'''
| Serviços simples
| <code>99-vm-baseline.conf</code>
| Hardening básico
| Qualquer tuning adicional sem necessidade
|}

== Prefixo 99 ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

Exemplo prático:
<pre>
10-default.conf
50-network.conf
99-vm-baseline.conf
</pre>

O valor definido em '''99-vm-baseline.conf''' vence, mesmo que os outros arquivos já tenham configurado o mesmo parâmetro.

== VM Base line ==

Configuração mínima recomendada para '''todas as VMs''', independentemente da função.

Crie o arquivo: '''99-vm-baseline.conf'''
nano /etc/sysctl.d/99-vm-baseline.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Baseline de VM
############################
# Reduz o uso de swap, mantendo previsibilidade
vm.swappiness = 10
############################
# Hardening de kernel
############################
# Restringe acesso ao buffer do kernel
kernel.dmesg_restrict = 1
# Oculta ponteiros do kernel
kernel.kptr_restrict = 2
# Evita core dumps de binários setuid
fs.suid_dumpable = 0
############################
# Proteção de filesystem
############################
# Bloqueia abuso de hardlinks
fs.protected_hardlinks = 1
# Bloqueia abuso de symlinks
fs.protected_symlinks = 1
# Protege FIFOs
fs.protected_fifos = 1
# Protege arquivos regulares
fs.protected_regular = 1
</pre>

== VM de aplicação web ou API ==

'''Indicada para:'''
* Servidores web

* APIs REST

* Aplicações com muitas conexões simultâneas

Crie o arquivo: '''99-vm-web.conf'''
nano /etc/sysctl.d/99-vm-web.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Web / API
############################
# Aumenta fila de conexões pendentes
net.core.somaxconn = 8192
# Aumenta backlog de conexões SYN
net.ipv4.tcp_max_syn_backlog = 8192
############################
# Otimização de conexões TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de fechamento de conexões
net.ipv4.tcp_fin_timeout = 15
# Evita reinício lento após idle
net.ipv4.tcp_slow_start_after_idle = 0
</pre>

== VM de banco de dados ==

'''Indicada para:'''

* PostgreSQL

* MySQL / MariaDB

* Redis

* MongoDB

O foco aqui é '''memória''' e previsibilidade, não rede.

Crie o arquivo: '''99-vm-db.conf'''
nano /etc/sysctl.d/99-vm-db.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Banco de Dados
############################
# Minimiza uso de swap
vm.swappiness = 1
# Evita overcommit agressivo de memória
vm.overcommit_memory = 1
</pre>
'''Observação importante:'''
O tuning principal deve ser feito no próprio banco, não no kernel.

== VM de firewall ou proxy ==
'''Indicada para:'''

* Reverse proxy

* Load balancer

* Firewall virtual

* VPN

Crie o arquivo: '''99-vm-network.conf'''
nano /etc/sysctl.d/99-vm-network.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# VM Firewall / Proxy
############################
# Aumenta fila de pacotes da interface
net.core.netdev_max_backlog = 10000
# Aumenta backlog de conexões TCP
net.ipv4.tcp_max_syn_backlog = 16384
############################
# Gerenciamento de conexões
############################
# Reduz tempo de encerramento de conexões
net.ipv4.tcp_fin_timeout = 10
</pre>

'''Nunca utilizar os mesmos valores do host Proxmox.'''

== Hardening adicional dentro das VMs ==

Além do sysctl, recomenda-se aplicar hardening em limites de recursos e systemd.

Crie o arquivo: '''99-vm-limits.conf'''
nano /etc/security/limits.d/99-vm-limits.conf

Copie e cole o conteúdo abaixo no arquivo

<pre>
# Limite máximo de arquivos abertos por processo
* soft nofile 104857
* hard nofile 104857
</pre>

nano /etc/systemd/system.conf
<pre>
# Limite global de arquivos abertos
DefaultLimitNOFILE=104857
# Limite global de processos
DefaultLimitNPROC=32768
</pre>

Após alteração, executar:
systemctl daemon-reexec

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

'''Observações finais'''

* Não replicar sysctl do host dentro das VMs

* Ajustar apenas o necessário para o serviço

* Documentar cada VM conforme seu perfil

* Aplicar mudanças de forma controlada

== Script de validação de perfil de VM ==

Crie o arquivo sysctl-vm-check.sh

nano /bin/sysctl-vm-check.sh

Copie e cole o conteúdo abaixo no arquivo

<pre>
#!/bin/bash

PROFILE="$1"

if [ -z "$PROFILE" ]; then
echo "Uso: $0 {baseline|web|db|network}"
exit 2
fi

echo "Validação de sysctl - Perfil de VM"
echo "Perfil selecionado: $PROFILE"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

############################
# Baseline comum a todas as VMs
############################

baseline_checks() {
echo "== VM Baseline =="
check vm.swappiness 10
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
echo
}

############################
# Perfil Web / API
############################

web_checks() {
echo "== VM Web / API =="
check net.core.somaxconn 8192
check net.ipv4.tcp_max_syn_backlog 8192
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_fin_timeout 15
check net.ipv4.tcp_slow_start_after_idle 0
echo
}

############################
# Perfil Banco de Dados
############################

db_checks() {
echo "== VM Banco de Dados =="
check vm.swappiness 1
check vm.overcommit_memory 1
echo
}

############################
# Perfil Firewall / Proxy
############################

network_checks() {
echo "== VM Firewall / Proxy =="
check net.core.netdev_max_backlog 10000
check net.ipv4.tcp_max_syn_backlog 16384
check net.ipv4.tcp_fin_timeout 10
echo
}

############################
# Execução por perfil
############################

case "$PROFILE" in
baseline)
baseline_checks
;;
web)
baseline_checks
web_checks
;;
db)
baseline_checks
db_checks
;;
network)
baseline_checks
network_checks
;;
*)
echo "Perfil inválido: $PROFILE"
echo "Perfis válidos: baseline | web | db | network"
exit 2
;;
esac

############################
# Resultado final
############################

if [ $FAIL -eq 0 ]; then
echo "Resultado final: PERFIL '$PROFILE' APLICADO CORRETAMENTE"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO PARA O PERFIL '$PROFILE'"
exit 1
fi
</pre>

Saia do arquivo e de permissão de execução
chmod +x sysctl-vm-check.sh

Execute conforme o perfil escolhido:

sysctl-vm-check.sh baseline
sysctl-vm-check.sh web
sysctl-vm-check.sh db
sysctl-vm-check.sh network

Tuning e Hardening - Host

2026-02-06T23:41:16Z

Diegocosta: /* Sobre */

== Sobre ==
Olá! Visitante, reunimos aqui, informações sobre o processo de Tuning em Sistemas GNU-Linux no bare metal,ou seja, no servidor físico, para máquinas virtual veja a página dedicada para VM em [[Tuning_e_Hardening_-_VM]] . Sendo este procedimento realizado para aumentar o desempenho entre 10% a 40% dependendo do hardware até um pouco mais. Estes ajustes podem auxiliar em momentos que algum sistema ou rede tenham gargalo, ou até mesmo evita um upgrade desnecessário de infra, uma vez que por padrão o Kernel Linux vem em modo conservador, assim mantendo a compatibilidade entre os mais diversos tipos de utilização. Após os ajustes abaixo recomenda-se fazer reboot em seu equipamento, assim efetivando todas as modificações no processo de boot do sistema.

'''Compatibilidade''': Este conjunto de parâmetros sysctl é compatível com distribuições Linux que utilizam kernel Linux 5.4 ou superior.

<pre>
Distribuições testadas e compatíveis:
- Debian 11, 12 e 13
- Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS
- Proxmox VE 7, 8 e 9
- Rocky Linux 8 e 9
- AlmaLinux 8 e 9
- RHEL 8 e 9
</pre>

= Kernel Tuning e Hardening =

Este projeto apresenta um conjunto de configurações e scripts para ajuste de desempenho (tuning) e endurecimento de segurança (hardening) do kernel Linux.

O foco é melhorar estabilidade, capacidade de rede e segurança do sistema, sem desabilitar proteções críticas do kernel ou utilizar parâmetros obsoletos.

== Objetivos ==

* Ajustar parâmetros do kernel para servidores
* Reduzir superfície de ataque
* Manter compatibilidade com auditorias técnicas
* Fornecer mecanismo simples de validação

== Escopo ==

Estas configurações foram pensadas para:

* Servidores Linux listados como compatíveis
* Ambientes físicos ou virtualizados
* Serviços de rede e infraestrutura
* Uso institucional ou pessoal

== Tabela impacto e o objetivo ==

Esta tabela descreve o impacto e o objetivo de cada grupo de ajustes aplicados diretamente no host, considerando estabilidade, segurança e isolamento entre VMs.

{| class="wikitable" style="text-align:left;"
! Componente do host
! Objetivo do hardening
! Ajustes aplicados
! Benefícios práticos
! Cuidados / Observações
|-
| '''Kernel Linux'''
| Reduzir superfície de ataque do host
| Proteções de symlink e hardlink, restrição de dmesg, ptrace limitado, ASLR forçado
| Dificulta escalonamento de privilégios e vazamento de informações do kernel
| Pode impactar ferramentas de debug no host
|-
| '''Filesystem'''
| Evitar abuso de recursos do sistema
| fs.file-max elevado, desativação de core dumps setuid
| Previne esgotamento de descritores e vazamento de memória sensível
| Ajustes devem considerar capacidade real do host
|-
| '''Memória'''
| Priorizar VMs em vez do host
| swappiness baixo, mmap mínimo elevado
| Reduz uso de swap no host e melhora previsibilidade
| Swap ainda é necessária para estabilidade extrema
|-
| '''Scheduler'''
| Evitar priorização automática indevida
| Desativação de autogroup, ajuste de migration cost
| Menos jitter e melhor previsibilidade para cargas de virtualização
| Pode reduzir responsividade em sessões interativas
|-
| '''Rede IPv4'''
| Proteger o host contra ataques de rede
| rp_filter, desativar redirects, source routing, log de pacotes inválidos
| Reduz spoofing, ataques de rota e tráfego malformado
| Não interfere no tráfego das VMs
|-
| '''Stack TCP'''
| Estabilidade e proteção básica
| SYN cookies, redução de retries, timeout controlado
| Mitiga ataques de SYN flood e conexões zumbis
| Host não deve ser usado como servidor de aplicação
|-
| '''ARP / Neighbor cache'''
| Estabilidade em ambientes grandes
| Limites elevados de gc_thresh, intervalos menores
| Evita estouro de cache ARP em ambientes com muitas VMs
| Valores devem crescer conforme número de VMs
|-
| '''IPv6'''
| Reduzir exposição desnecessária
| Desativação de RA e redirects no host
| Evita configuração automática indevida de rotas
| Não afeta IPv6 interno das VMs
|-
| '''Virtualização'''
| Isolamento entre guests
| Kernel hardening padrão + KVM intacto
| Reduz risco de impacto de uma VM comprometida
| Não substitui atualizações de segurança
|}

== Estrutura do projeto ==

O papel do prefixo 99:

Em sistemas Linux, os arquivos de configuração do '''sysctl''' em '''/etc/sysctl.d/''' são carregados em ordem alfanumérica. Ou seja, o kernel aplica os parâmetros seguindo esta ordem:

<pre>
1. /usr/lib/sysctl.d/*.conf

2. /run/sysctl.d/*.conf

3. /etc/sysctl.d/*.conf

4. /etc/sysctl.conf
</pre>
Dentro de cada diretório, os arquivos são lidos do menor para o maior nome.

Usar '''99-''' garante que esses arquivos sejam aplicados por último.

Eles sobrescrevam valores definidos por:
* Distribuição

* Pacotes instalados

* Outros arquivos genéricos de tuning

* O comportamento fique previsível e auditável

{| class="wikitable"
! Caminho !! Descrição
|-
| /etc/sysctl/99-custom.conf || Ajustes de desempenho
|-
| /etc/sysctl/99-hardening.conf || Ajustes de segurança
|-
| /bin/sysctl-check.sh || Script de validação
|}

== Decisões de segurança ==

* Mitigações de Meltdown e Spectre permanecem ativas
* Nenhum parâmetro depreciado ou removido é utilizado
* Hardening aplicado sem impacto relevante de desempenho

== Aviso ==

Estas configurações devem ser testadas em ambiente controlado antes da aplicação em produção.

= Kernel Tuning – sysctl =
Crie o arquivo 99-custom.conf

nano /etc/sysctl.d/99-custom.conf

== Arquivo: 99-custom.conf ==
Copie e cole o conteúdo abaixo no arquivo
<pre>
############################
# Limites de arquivos
############################
# Define o número máximo de arquivos abertos no sistema
fs.file-max = 1048576
############################
# Gerenciamento de memória
############################
# Reduz uso de swap, priorizando memória RAM
vm.swappiness = 1
############################
# Portas efêmeras e conexões
############################
# Intervalo de portas locais para conexões de saída
net.ipv4.ip_local_port_range = 10000 65000
# Número máximo de conexões pendentes no listen
net.core.somaxconn = 65535
############################
# Buffers globais de rede
############################
# Buffer máximo de recepção
net.core.rmem_max = 16777216
# Buffer máximo de envio
net.core.wmem_max = 16777216
# Buffer padrão de recepção
net.core.rmem_default = 262144
# Buffer padrão de envio
net.core.wmem_default = 262144
############################
# Buffers TCP
############################
# Buffer TCP de recepção: min, default e max
net.ipv4.tcp_rmem = 4096 87380 16777216
# Buffer TCP de envio: min, default e max
net.ipv4.tcp_wmem = 4096 65536 16777216
############################
# Filas e backlog
############################
# Fila máxima de pacotes por interface
net.core.netdev_max_backlog = 50000
# Máximo de conexões SYN pendentes
net.ipv4.tcp_max_syn_backlog = 32768
# Limite de conexões em TIME_WAIT
net.ipv4.tcp_max_tw_buckets = 262144
############################
# Otimizações TCP
############################
# Permite reutilização de conexões TIME_WAIT
net.ipv4.tcp_tw_reuse = 1
# Reduz tempo de espera no fechamento TCP
net.ipv4.tcp_fin_timeout = 10
# Evita reinício lento após ociosidade
net.ipv4.tcp_slow_start_after_idle = 0
# Reduz tentativas de SYN
net.ipv4.tcp_syn_retries = 3
# Reduz tentativas de SYN-ACK
net.ipv4.tcp_synack_retries = 3
############################
# Buffers UDP
############################
# Buffer mínimo de recepção UDP
net.ipv4.udp_rmem_min = 8192
# Buffer mínimo de envio UDP
net.ipv4.udp_wmem_min = 8192
############################
# Ajustes de TCP
############################
# Ativa escalonamento de janela TCP
net.ipv4.tcp_window_scaling = 1
############################
# Hardening IPv4
############################
# Não enviar redirecionamentos ICMP
net.ipv4.conf.all.send_redirects = 0
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
############################
# Scheduler do kernel
############################
# Reduz migração excessiva de processos entre CPUs
kernel.sched_migration_cost_ns = 5000000
# Desativa agrupamento automático de processos
kernel.sched_autogroup_enabled = 0
############################
# Cache ARP
############################
# Intervalo de coleta de entradas ARP
net.ipv4.neigh.default.gc_interval = 15
# Limite inicial do cache ARP
net.ipv4.neigh.default.gc_thresh1 = 4096
# Limite intermediário do cache ARP
net.ipv4.neigh.default.gc_thresh2 = 8192
# Limite máximo do cache ARP
net.ipv4.neigh.default.gc_thresh3 = 16384

</pre>

== Observações ==

* Os valores priorizam estabilidade e throughput
* Não há impacto negativo em segurança
* Compatível com cargas de rede elevadas

= Kernel Hardening – sysctl =

Crie o arquivo 99-hardening.conf

nano /etc/sysctl.d/99-hardening.conf

== Arquivo: 99-hardening.conf ==
Copie e cole o conteúdo abaixo no arquivo

<pre>
############################
# Kernel hardening baseline
############################
# Proteção de links simbólicos e hardlinks
fs.protected_hardlinks = 1
fs.protected_symlinks = 1
fs.protected_fifos = 1
fs.protected_regular = 1
# Restringir acesso ao dmesg
kernel.dmesg_restrict = 1
# Restringir acesso a ponteiros do kernel
kernel.kptr_restrict = 2
# Evitar core dumps de binários setuid
fs.suid_dumpable = 0
# Endurecer uso de ptrace
kernel.yama.ptrace_scope = 1
############################
# Hardening de rede IPv4
############################
# Proteção contra IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Não aceitar redirecionamentos ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Não enviar redirecionamentos
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Não aceitar source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Ativar SYN cookies
net.ipv4.tcp_syncookies = 1
# Ignorar ICMP suspeitos
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Logar pacotes inválidos
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

</pre>

= Aplicação das configurações sysctl =

As configurações de tuning e hardening devem ser aplicadas por meio de arquivos
no diretório /etc/sysctl.d/.

Não é recomendado editar diretamente o arquivo /etc/sysctl.conf.

== Aplicação ==

Aplicar as configurações:

<pre>
sysctl --system
</pre>

Reboot não é obrigatório, mas recomendado em ambientes críticos.

= Validação das configurações sysctl =

O script sysctl-check.sh valida se os parâmetros definidos estão ativos
no kernel em tempo de execução.

== Script de validação ==

nano /bin/sysctl-check.sh

<pre>
#!/bin/bash

echo "Validação de sysctl - tuning e hardening"
echo "Host: $(hostname)"
echo "Data: $(date)"
echo

FAIL=0

check() {
local key="$1"
local expected="$2"

current=$(sysctl -n "$key" 2>/dev/null)

if [ "$current" = "$expected" ]; then
printf "[ OK ] %-45s = %s\n" "$key" "$current"
else
printf "[FAIL] %-45s esperado: %s | atual: %s\n" "$key" "$expected" "${current:-N/A}"
FAIL=1
fi
}

echo "== Kernel hardening =="
check fs.protected_hardlinks 1
check fs.protected_symlinks 1
check fs.protected_fifos 1
check fs.protected_regular 1
check kernel.dmesg_restrict 1
check kernel.kptr_restrict 2
check fs.suid_dumpable 0
check kernel.yama.ptrace_scope 1
check kernel.randomize_va_space 2
check vm.mmap_min_addr 65536

echo
echo "== Rede IPv4 =="
check net.ipv4.conf.all.rp_filter 1
check net.ipv4.conf.default.rp_filter 1
check net.ipv4.conf.all.accept_redirects 0
check net.ipv4.conf.default.accept_redirects 0
check net.ipv4.conf.all.send_redirects 0
check net.ipv4.conf.default.send_redirects 0
check net.ipv4.conf.all.accept_source_route 0
check net.ipv4.conf.default.accept_source_route 0
check net.ipv4.tcp_syncookies 1
check net.ipv4.icmp_echo_ignore_broadcasts 1
check net.ipv4.icmp_ignore_bogus_error_responses 1
check net.ipv4.conf.all.log_martians 1
check net.ipv4.conf.default.log_martians 1
check net.ipv4.tcp_rfc1337 1
check net.ipv4.tcp_timestamps 1

echo
echo "== Rede IPv6 =="
check net.ipv6.conf.all.accept_redirects 0
check net.ipv6.conf.default.accept_redirects 0
check net.ipv6.conf.all.accept_ra 0
check net.ipv6.conf.default.accept_ra 0

echo
echo "== Tuning essencial =="
check fs.file-max 1048576
check vm.swappiness 1
check net.core.somaxconn 65535
check net.ipv4.tcp_fin_timeout 10
check net.ipv4.tcp_tw_reuse 1
check net.ipv4.tcp_slow_start_after_idle 0

echo
if [ $FAIL -eq 0 ]; then
echo "Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS"
exit 0
else
echo "Resultado final: EXISTEM PARÂMETROS FORA DO PADRÃO"
exit 1
fi

</pre>

Saia do arquivo e de permissão de execução.
chmod +x /bin/sysctl-check.sh

Executando:
sysctl-check.sh

== Resultado ==

<pre>
#################################
Validação de sysctl - tuning e hardening
Host: debian-base
Data: qua 18 fev 2026 18:18:18 -03

== Kernel hardening ==
[ OK ] fs.protected_hardlinks = 1
[ OK ] fs.protected_symlinks = 1
[ OK ] fs.protected_fifos = 1
[ OK ] fs.protected_regular = 1
[ OK ] kernel.dmesg_restrict = 1
[ OK ] kernel.kptr_restrict = 2
[ OK ] fs.suid_dumpable = 0
[ OK ] kernel.yama.ptrace_scope = 1
[ OK ] kernel.randomize_va_space = 2
[ OK ] vm.mmap_min_addr = 65536

== Rede IPv4 ==
[ OK ] net.ipv4.conf.all.rp_filter = 1
[ OK ] net.ipv4.conf.default.rp_filter = 1
[ OK ] net.ipv4.conf.all.accept_redirects = 0
[ OK ] net.ipv4.conf.default.accept_redirects = 0
[ OK ] net.ipv4.conf.all.send_redirects = 0
[ OK ] net.ipv4.conf.default.send_redirects = 0
[ OK ] net.ipv4.conf.all.accept_source_route = 0
[ OK ] net.ipv4.conf.default.accept_source_route = 0
[ OK ] net.ipv4.tcp_syncookies = 1
[ OK ] net.ipv4.icmp_echo_ignore_broadcasts = 1
[ OK ] net.ipv4.icmp_ignore_bogus_error_responses = 1
[ OK ] net.ipv4.conf.all.log_martians = 1
[ OK ] net.ipv4.conf.default.log_martians = 1
[ OK ] net.ipv4.tcp_rfc1337 = 1
[ OK ] net.ipv4.tcp_timestamps = 1

== Rede IPv6 ==
[ OK ] net.ipv6.conf.all.accept_redirects = 0
[ OK ] net.ipv6.conf.default.accept_redirects = 0
[ OK ] net.ipv6.conf.all.accept_ra = 0
[ OK ] net.ipv6.conf.default.accept_ra = 0

== Tuning essencial ==
[ OK ] fs.file-max = 1048576
[ OK ] vm.swappiness = 1
[ OK ] net.core.somaxconn = 65535
[ OK ] net.ipv4.tcp_fin_timeout = 10
[ OK ] net.ipv4.tcp_tw_reuse = 1
[ OK ] net.ipv4.tcp_slow_start_after_idle = 0

Resultado final: TODOS OS PARÂMETROS ESTÃO CORRETOS
#################################

</pre>

O script pode ser usado em auditorias, automações ou validações periódicas.