Linux глазами хакера
вернуться

Флёнов Михаил Евгеньевич
Шрифт:

Каждый лишний модуль — это очередной удар по производительности и безопасности. Закончив с этим, переходим к более тонким настройкам.

14.11.1. Параметры ядра

Для начала откроем конфигурационный файл /etc/sysctl.conf. В нем находятся параметры ядра. Пример файла можно увидеть в листинге 14.1.

Листинг 14.1. Конфигурационный файл /etc/sysctl.conf

# Kernel sysctl configuration file for Red Hat Linux

# Конфигурационный файл ядра для Red Hat Linux

# For binary values, 0 is disabled, 1 is enabled.

# See sysctl(8) for more details.

# Для бинарных значений, 0 - это отключен, а 1 - включен.

# Смотрите man sysctl для получения дополнительной информации

# Controls IP packet forwarding

# Контролирует переадресацию IP-пакетов

net.ipv4.ip_forward = 0

# Controls source route verification

# Контроль проверки маршрутизации от источника

net.ipv4.conf.default.rp_filter = 1

kernel.sysrq = 1

kernel.core_uses_pid = 1

#net.ipv4.tcp_ecn = 0

kernel.grsecurity.fifo_restrictions = 1

kernel.grsecurity.linking_restrictions = 1

# audit some operations

# аудит некоторых операций

kernel.grsecurity.audit_mount = 1

kernel.grsecurity.signal_logging = 1

#kernel.grsecurity.suid_logging = 1

kernel.grsecurity.timechange_logging = 1

kernel.grsecurity.forkfail_logging = 1

kernel.grsecurity.coredump = 1

# lock all security options

# блокировка всех опций безопасности

#kernel.grsecurity.grsec_lock = 1

Что представляют собой параметры, которые вы можете видеть в файле? Попробуем разобраться на примере

net.ipv4.tcp_ecn
. На самом деле это путь к файлу относительно каталога /proc/sys, в данном случае это файл /proc/sys/net/ipv4/tcp_ecn. Как видите, я просто заменил в параметре все точки на символ слэш и прибавил результат к подкаталогу /proc/sys. Выполните следующую команду, чтобы просмотреть содержимое файла:

cat /proc/sys/net/ipv4/tcp_ecn

В результате на экране вы должны увидеть 0 или 1. Это и есть значение параметра.

Но корректировать файл вручную нет смысла. Для изменения лучше использовать команду:

sysctl -w имя_параметра = значение

С помощью этой же команды можно просматривать значение параметров ядра:

sysctl имя_параметра

Например, следующая директива отобразит значение параметра

net.ipv4.tcp_ecn:

sysctl net.ipv4.tcp_ecn

В результате вы увидите то же значение, что и при просмотре файла /proc/sys/net/ipv4/tcp_ecn напрямую. Большинство параметров имеют логический тип, т.е. могут быть равны 0 (отключено) или 1 (включено).

Рассмотрим параметры, которые нужно изменить, а если их нет в файле, то добавить:

□ 

net.ipv4.icmp_echo_ignore_broadcasts
— игнорировать широковещательные эхо-ICMP-пакеты (параметр включен);

□ 

net.ipv4.icmp_echo_ignore_all
— запретить эхо-ICMP-пакеты (значение 1). Используйте этот параметр, если не хотите связываться с сетевым экраном. Запрет эхо-пакетов уменьшит трафик, хотя и незначительно, и при этом делает неэффективными любые атаки с помощью ping;

□ 

net.ipv4.conf.*.accept_redirects
— разрешить принимать перенаправления маршрутизатора. В разд. 4.5.3 мы говорили о том. что это небезопасно и может позволить хакеру обмануть маршрутизатор и прослушать трафик атакуемой машины;

Вместо символа звездочка может быть любое имя директории. Дело в том, что в каталоге net.ipv4.conf находится несколько подкаталогов — по одному для каждого сетевого интерфейса. В вашей системе должно быть как минимум 4 директории со следующим распределением содержащейся в них информации: