Partage Hardening de Sysctl

[Kilo-25]

Sysctl c'est un fichier de configuration de votre système particulièrement central, et essentiel, il permet de configurer quasiment tout. A savoir d'ailleurs, que depuis le kernel 4.x, il permet même de modifier à chaud le kernel, c'est dire l'importance de ce fichier.

Voilà une configuration possible à mettre dans /etc/sysctl.conf permettant de se protéger contre le DDOS, améliorer la sécurité du mapping, randomisés les appels au kernel, empêcher les attaques réseaux via protocole icmp notamment et bien sûr empêcher l'IPv6 :

# IPv6 désactivé

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.wlan0.disable_ipv6 = 1
net.ipv6.conf.wlan0.autoconf = 0

# Pas de redirection ICMP (prévenention d'attaques MITM)

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv6.conf.all.send_redirects = 0
net.ipv6.conf.default.send_redirects = 0
net.ipv4.tcp_syncookies=1

# Empêcher de se faire baiser par un retour de paquets UDP

net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.tun0.rp_filter=1
net.ipv4.conf.wlan0.rp_filter=1
net.ipv4.conf.eth0.rp_filter=1
net.ipv4.conf.lo.rp_filter=1

# Des petits conseils fournis par lynis

net.ipv4.tcp_timestamps=0
net.ipv4.conf.default.log_martians=1

# Manipulation TCP diminuée

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
kernel.core_uses_pid=1

# Ignorer les Pings

net.ipv4.icmp_echo_ignore_all=1

# Activation de l'IP Forwarding pour l'ipv4

net.ipv4.ip_forward = 1

# Pas de paquets route d'IP ( fonctionnalité à réserver aux routeurs )

net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Log amélioré

net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Desactive la SysRq key
kernel.sysrq = 0

# Execution protégé du noyau
kernel.exec-shield = 1

# mmap, base, stack et vdso randomisés
kernel.randomize_va_space = 2

# map et smaps visibles uniquement si autorisé par ptrace
kernel.maps_protect = 1

# Restriction dumps du noyau
fs.suid_dumpable = 0

# Cacher les pointeurs du noyau
kernel.kptr_restrict = 1

# Protection contre des petites attaques par déni de service
net.ipv4.tcp_max_tw_buckets = 1440000

Pour que cela prenne effet, il suffit de faire :

sysctl -p -w

 

[RoRoH_AR]

Sysctl c'est un fichier de configuration de votre système particulièrement central, et essentiel, il permet de configurer quasiment tout. A savoir d'ailleurs, que depuis le kernel 4.x, il permet même de modifier à chaud le kernel, c'est dire l'importance de ce fichier.

Voilà une configuration possible à mettre dans /etc/sysctl.conf permettant de se protéger contre le DDOS, améliorer la sécurité du mapping, randomisés les appels au kernel, empêcher les attaques réseaux via protocole icmp notamment et bien sûr empêcher l'IPv6 :

# IPv6 désactivé

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.wlan0.disable_ipv6 = 1
net.ipv6.conf.wlan0.autoconf = 0

# Pas de redirection ICMP (prévenention d'attaques MITM)

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv6.conf.all.send_redirects = 0
net.ipv6.conf.default.send_redirects = 0
net.ipv4.tcp_syncookies=1

# Empêcher de se faire baiser par un retour de paquets UDP

net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.tun0.rp_filter=1
net.ipv4.conf.wlan0.rp_filter=1
net.ipv4.conf.eth0.rp_filter=1
net.ipv4.conf.lo.rp_filter=1

# Des petits conseils fournis par lynis

net.ipv4.tcp_timestamps=0
net.ipv4.conf.default.log_martians=1

# Manipulation TCP diminuée

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
kernel.core_uses_pid=1

# Ignorer les Pings

net.ipv4.icmp_echo_ignore_all=1

# Activation de l'IP Forwarding pour l'ipv4

net.ipv4.ip_forward = 1

# Pas de paquets route d'IP ( fonctionnalité à réserver aux routeurs )

net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Log amélioré

net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Desactive la SysRq key
kernel.sysrq = 0

# Execution protégé du noyau
kernel.exec-shield = 1

# mmap, base, stack et vdso randomisés
kernel.randomize_va_space = 2

# map et smaps visibles uniquement si autorisé par ptrace
kernel.maps_protect = 1

# Restriction dumps du noyau
fs.suid_dumpable = 0

# Cacher les pointeurs du noyau
kernel.kptr_restrict = 1

# Protection contre des petites attaques par déni de service
net.ipv4.tcp_max_tw_buckets = 1440000

Pour que cela prenne effet, il suffit de faire :

sysctl -p -w

Excellent partage