Настройки безопасности ядра

Question 1

Какова правильная настройка безопасности для net.ipv4.conf.all.secure_redirects опция в sysctl.conf? Здесь это устанавливает на 1 и Здесь наборы к 0. net.ipv4.conf.default.secure_redirects связанный с предыдущим? и ٌWhat является правильной установкой для него?

====

1-я ссылка (wiki.ubuntu.com) указала:

Следующие sysctl настройки являются значением по умолчанию во время этой записи. Мы предназначаем, чтобы они остались этот путь.
net.ipv4.conf.all.secure_redirects = 1. 
Предотвращает угон пути маршрутизации, только позволяя перенаправления от шлюзов, известных в нашей таблице маршрутизации.

2-я ссылка (joshrendek.com) состояния:

# Make sure no one can alter the routing tables 
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

Question 2

При рассмотрении этого я использовал Fedora в качестве ссылка (чтобы видеть, как другая ОС смотрит на это) (редактирование: это мысли Fedora об установке СЕРВЕРА! Посмотрите нижнюю часть для того, почему это важно):

enter image description here

<час>

Документация :

accept_redirects - BOOLEAN
    Accept ICMP redirect messages.
    accept_redirects for the interface will be enabled if:
    - both conf/{all,interface}/accept_redirects are TRUE in the case
      forwarding for the interface is enabled
    or
    - at least one of conf/{all,interface}/accept_redirects is TRUE in the
      case forwarding for the interface is disabled
    accept_redirects for the interface will be disabled otherwise
    default TRUE (host)
        FALSE (router)

<час>

Вот интересный блог . Заключение:

Эта тайная логика означает, что для немаршрутизатора (т.е. большинство серверов), мало того, что /proc/sys/net/ipv4/conf/all/accept_redirects должен быть 0, но и /proc/sys/net/ipv4/conf/interface/accept_redirects - также.

<час>

Так...

, если Вы используете свою систему в качестве сервера, устанавливает его на 0.
, если Вы используете свою систему в качестве рабочего стола, можно оставить ее на 1 (но может установить его на 0, если Вы хотите укрепить свою систему).

И может считаться корректным (и нормальный).

Rinzwind · Accepted Answer · 17 November 2019 в 15:49

При рассмотрении этого я использовал Fedora в качестве ссылка (чтобы видеть, как другая ОС смотрит на это) (редактирование: это мысли Fedora об установке СЕРВЕРА! Посмотрите нижнюю часть для того, почему это важно):

enter image description here

<час>

Документация :

accept_redirects - BOOLEAN
    Accept ICMP redirect messages.
    accept_redirects for the interface will be enabled if:
    - both conf/{all,interface}/accept_redirects are TRUE in the case
      forwarding for the interface is enabled
    or
    - at least one of conf/{all,interface}/accept_redirects is TRUE in the
      case forwarding for the interface is disabled
    accept_redirects for the interface will be disabled otherwise
    default TRUE (host)
        FALSE (router)

<час>

Вот интересный блог . Заключение:

Эта тайная логика означает, что для немаршрутизатора (т.е. большинство серверов), мало того, что /proc/sys/net/ipv4/conf/all/accept_redirects должен быть 0, но и /proc/sys/net/ipv4/conf/interface/accept_redirects - также.

<час>

Так...

, если Вы используете свою систему в качестве сервера, устанавливает его на 0.
, если Вы используете свою систему в качестве рабочего стола, можно оставить ее на 1 (но может установить его на 0, если Вы хотите укрепить свою систему).

И может считаться корректным (и нормальный).

Настройки безопасности ядра

1 ответ

Другие вопросы по тегам:

Похожие вопросы: