Linux - Friheden til sikkerhed på internettet: Version 2.9.20060510 - 2020-12-31 | ||
---|---|---|
forrige | Kapitel 6. Firewall på Linux | næste |
Hærdning af kernen er relevant på en firewall. Man kan for eksempel tilføje flg. til sit firewall script:
# Svar ikke på ping /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all # undgå at være med til smurf angreb /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Tillad ikke source routing /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects /bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses for i in /proc/sys/net/ipv4/conf/*; do /bin/echo "1" > $i/rp_filter done # Log forsøg på source routing samt redirect /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
Det kræver en speciel kerne, hvor de forskellige nødvendige features er aktiveret. Man kan for eksempel godt køre en firewall på en kerne, som ikke har logging af fremmede (spoofede) pakker, også kaldet mars-boere, "Martians".