Kernel security

Editer :

• /proc/sys/net/ipv4/icmp_echo_ignore_all : mettre à oui (1) ou non (0) si le noyau doit ignorer toutes les requettes ICMP ECHO, ou juste celles des adresses broadcast et multicast.

• /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts : lorsqu'un paquet est envoyé est envoyé à une adresse de diffusion (ie. 192.168.1.255) pour une machine du réseau local, ce paquet de délivré à toutes les machines du réseau. Puis toutes les machines répondent à cette requette et le résultat peut être un grâve engorgement du réseau.

• /proc/sys/net/ipv4/conf/default/accept_source_route : les paquets source routed doivent-ils être acceptés ou refusés (oui pour les routeurs) ?

• /proc/sys/net/ipv4/tcp_syncookies : valide si le noyau a été compilé avec CONFIG_SYNCOOKIES. Envoie syncookies lorsque la queue d'une socket déborde.

• /proc/sys/net/ipv4/conf/default/accept_redirects : le noyau doit-i accepter les redirections de requettes ICMP (non pour un routeur) ?

• /proc/sys/net/ipv4/ip_always_defrag : Toutes les parties d'un paquet IP doivent-elles être rassemblées avant d'être traitées, même si ce paquet doit être transmis à un autre hôte (oui pour un firewall qui est la seule connexion à l'Internet ou un proxy, non pour un routeur normal) ?

• /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses : certains routeurs violent la RFC 1122 en envoyant des réponses boguées aux diffusions. Le noyau doit il ignorer ces avertissements ?

• /proc/sys/net/ipv4/conf/default/rp_filter : Valider la source (oui pour un firewall qui est la seule connexion à l'Internet) ?

• /proc/sys/net/ipv4/conf/default/log_martians : logguer les paquets ayant une adresse source non valide (aucune route connue) ?

Voir aussi : secur.sh.