Configurações de segurança do kernel

Question

Configurações de segurança do kernel

#1 resposta do Rinzwind (1 votos)

4

Qual é a configuração de segurança correta para a opção net.ipv4.conf.all.secure_redirects em sysctl.conf ? Aqui ele define 1 e Aqui define como 0 . O net.ipv4.conf.default.secure_redirects está relacionado com o anterior? e ٌ Qual é o cenário certo para isso?

====

1º link (wiki.ubuntu.com) declarado:

As seguintes configurações de sysctl são padrão no momento desta escrita. Nós pretendemos que eles fiquem assim.
net.ipv4.conf.all.secure_redirects = 1. 
Impede o sequestro do caminho de roteamento permitindo apenas redirecionamentos de gateways conhecidos em nossa tabela de roteamento.

Segundo link (joshrendek.com) afirma:

# Make sure no one can alter the routing tables 
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

kernel security

por Gohar 17.04.2014 / 08:39

1 resposta

Tags kernel security

Os ícones de aplicativos nas configurações do sistema desaparecem após a exclusão da Entrada de Texto Flash não suportado em webapps

score 1 · Accepted Answer

Ao analisar isso, usei o Fedora como referência (para ver como outro sistema operacional observa isso) (edite: estas são as considerações do Fedora sobre a configuração de um SERVER! Veja a parte de baixo para saber porque isso é importante):

Documentação :

accept_redirects - BOOLEAN
    Accept ICMP redirect messages.
    accept_redirects for the interface will be enabled if:
    - both conf/{all,interface}/accept_redirects are TRUE in the case
      forwarding for the interface is enabled
    or
    - at least one of conf/{all,interface}/accept_redirects is TRUE in the
      case forwarding for the interface is disabled
    accept_redirects for the interface will be disabled otherwise
    default TRUE (host)
        FALSE (router)

Aqui está um blog interessante . Conclusão:

Essa lógica arcana significa que, para um não-roteador (ou seja, a maioria dos servidores), não apenas /proc/sys/net/ipv4/conf/all/accept_redirects deve ser 0, mas também /proc/sys/net/ipv4/conf/interface/accept_redirects .

Então ...

se você estiver usando seu sistema como um servidor, defina-o como 0.
Se você estiver usando seu sistema como desktop, poderá deixá-lo em 1 (mas pode defini-lo como 0 se quiser proteger seu sistema).

Ambos podem ser considerados corretos (e sãos).