As modificações no sysctl.conf entram em vigor no container openVZ?

Navegue suas respostas
1

Estou seguindo um guia de segurança ( link ) para fortalecer o meu servidor web VPS baseado no OpenVZ executando o Ubuntu 12.04 , uma parte dele pede para fazer algumas modificações no sysctl.conf. Mas não tenho certeza se tudo isso realmente faz sentido em um container openVZ , pois é um kernel compartilhado.

Aqui estão as edições sugeridas para sysctl.conf 

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

Quando tentei testá-los com meu contêiner OpenVZ, obtive permissão para três dessas entradas, que provavelmente foram bloqueadas pelo meu host. 

error: permission denied on key 'net.ipv4.tcp_max_syn_backlog'
error: permission denied on key 'net.ipv4.tcp_synack_retries'
error: permission denied on key 'net.ipv4.tcp_syn_retries'

Agora, minha pergunta é: realmente faz sentido incluí-los no meu sysctl.conf em um ambiente de container openVZ? Quero reforçar a segurança no meu servidor, mas não tenho certeza se eles entrariam em vigor no meu contêiner openVZ.

    
por Rajat Gupta 13.03.2014 / 14:00

1 resposta

2

Já foi respondido em superuser.com :

% bl0ck_qu0te%

Por motivos de segurança o contêiner openVZ não permitirá que você altere qualquer configuração compartilhada que possa afetar o servidor host , mas as configurações no servidor host - pelo menos muitas delas - afetarão todos os contêineres

Se você receber acesso negado, suas configurações serão ignoradas por motivos de segurança. Um bom servidor host terá medidas de segurança que impedirão que vulnerabilidades comuns no nível do kernel afetem seu contêiner; em um ambiente compartilhado, sempre notifique o administrador se você encontrar configurações ruins ou não seguras (ele ficará feliz, não se preocupe)
Você ainda tem permissão para configurar o firewall do iptables (guia oficial) em seu contêiner: ele bloqueará uma boa variedade de ataques! < br> Se você tiver outras perguntas, responda comentando aqui e não se esqueça de pressionar a seta PARA CIMA e definir como favorito se eu tiver alguma ajuda.

Boa tarde.

    
por Lorenzo Ancora 13.03.2014 / 14:43
Intel 7260 sem fio (rev 73) / NUC N2820: OK durante a instalação, falha após a instalação Ei, o que há de errado com o Ubuntu 10.10 [fechado]