Модификации к sysctl.conf вступают в силу в openVZ контейнере?
Я следую руководству по обеспечению безопасности (http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics) для укрепления моего OpenVZ базирующийся веб-сервер VPS под управлением Ubuntu 12.04, часть этого просит делать некоторые модификации к sysctl.conf. Но я не уверен, если все, что действительно имеет смысл в openVZ контейнере, поскольку это - общее ядро.
Вот редактирования, которые предлагаются для sysctl.conf
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1
Когда я пытался протестировать их со своим контейнером OpenVZ, я отклонил разрешение для 3 из этих записей, которые, вероятно, были заблокированы вниз моим хостом.
error: permission denied on key 'net.ipv4.tcp_max_syn_backlog'
error: permission denied on key 'net.ipv4.tcp_synack_retries'
error: permission denied on key 'net.ipv4.tcp_syn_retries'
Теперь мой вопрос: действительно имеет смысл включать их в мой sysctl.conf в openVZ контейнерной среде? Я хочу сжать безопасность на своем сервере, но я не действительно уверен, вступили ли они в силу в моем openVZ контейнере.
1 ответ
Уже отвеченный на superuser.com :
существует только единственное ядро, работающее и за хостом и за всем "VPS" es
Из соображений безопасности , openVZ контейнер не позволит Вам изменять любые общие настройки, которые могут повлиять на хост-сервер , но настройки в хост-сервере - по крайней мере, многие из них - будут влиять на все контейнеры.
при получении доступа запрещен настройки проигнорированы из соображений безопасности.
А хороший хост-сервер будет иметь меры безопасности, которые будут препятствовать тому, чтобы общие уязвимости уровня ядра влияли на Ваш контейнер; в общей среде, всегда уведомляйте администратора, если Вы найдете плохо или не безопасные настройки (то он будет счастлив, не волнуйтесь)!
Вас все еще разрешают , настраивают iptables брандмауэр (официальное руководство) в Вашем контейнере: это заблокирует хороший диапазон нападений!
, Если у Вас есть другие вопросы, не стесняются отвечать путем комментария под здесь и не забывают нажимать Стрелку вверх и устанавливать как фаворит, если я имею какую-либо справку.
Добрый день.