Какова правильная настройка безопасности для net.ipv4.conf.all.secure_redirects
опция в sysctl.conf
? Здесь это устанавливает на 1
и Здесь наборы к 0
. net.ipv4.conf.default.secure_redirects
связанный с предыдущим? и ٌWhat является правильной установкой для него?
====
1-я ссылка (wiki.ubuntu.com) указала:
Следующие sysctl настройки являются значением по умолчанию во время этой записи. Мы предназначаем, чтобы они остались этот путь.
net.ipv4.conf.all.secure_redirects = 1.
Предотвращает угон пути маршрутизации, только позволяя перенаправления от шлюзов, известных в нашей таблице маршрутизации.
2-я ссылка (joshrendek.com) состояния:
# Make sure no one can alter the routing tables
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
При рассмотрении этого я использовал Fedora в качестве ссылка (чтобы видеть, как другая ОС смотрит на это) (редактирование: это мысли Fedora об установке СЕРВЕРА! Посмотрите нижнюю часть для того, почему это важно):
<час>
accept_redirects - BOOLEAN
Accept ICMP redirect messages.
accept_redirects for the interface will be enabled if:
- both conf/{all,interface}/accept_redirects are TRUE in the case
forwarding for the interface is enabled
or
- at least one of conf/{all,interface}/accept_redirects is TRUE in the
case forwarding for the interface is disabled
accept_redirects for the interface will be disabled otherwise
default TRUE (host)
FALSE (router)
<час> Вот интересный блог . Заключение:
<час>Эта тайная логика означает, что для немаршрутизатора (т.е. большинство серверов), мало того, что
/proc/sys/net/ipv4/conf/all/accept_redirects
должен быть 0, но и/proc/sys/net/ipv4/conf/interface/accept_redirects
- также.
Так...
И может считаться корректным (и нормальный).