리눅스
subject 커널 레벨 취약점 보완
author 관리자 date 2004-01-06 hit 196 HIT
커널과 관련된 옵션은 /proc 디렉토리의 관련 파일을 직접 수정하거나 설정 파일인 /etc/sysctl.conf 파일을 이용하여 바꿀 수 있다. 관련 파일을 직접 수정하는 경우 재부팅하게 되면 무효가 되므로, 다음 부팅시에도 반영하려면 설정 파일인 /etc/sysctl.conf 를 수정하여 주는 방법을 사용하여야 한다.

참고로 커널관련 설정값 확인은..
# sysctl -a

-----------------------------------------------------------
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) for
# more details.

# Controls IP packet forwarding
# 마스커레이딩 사용설정 (사용 : 1, 꺼짐 : 0)
# /etc/rc.d/rc.firewall 에서 echo 1 > /proc/sys/net/ip_forward 부분과 같은 의미임
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# not response for ping
# 핑 요청에 응답 거부, 브로드캐스트 주소로 핑 을 사용하지 못하도록 함
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_boradcasts = 1

# not allow SYN Attack
# SYN Attack 공격을 막기 위해서 백로그라는 큐의 크기를 늘림 (기본값은 256)
net.ipv4.tcp_max_syn_backlog = 1024

# not allow SYN Flood Attack
# SYN Flood 공격에 대응하기 위하여 설정
net.ipv4.tcp_syncookies = 1

# not allow ICMP Redirect Attack
# ICMP Redirect 를 이용한 공격을 막기 위해 리다이렉트를 끔 (기본값은 둘다 1)
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0

# ignore Bad icmp
# Bad icmp 패킷을 무시 (로그가 지저분해지는 것을 막기 위함)
net.ipv4.icmp_ignore_bogus_error_responses = 1

# prevent from IP spooping and write log
# IP 스푸핑 방지 (기본값 0)
net.ipv4.conf.all.rp_filter = 1
# IP 스푸핑된 패킷을 로그에 기록함 (기본값 0)
# 콘솔에 에러 비슷한 메세지가 계속 떠서 주석처리 함
# net.ipv4.conf.all.log_martians = 1

# reduce connect time & keepalive time
# 연결 종료시간을 줄임 (기본값 60)
net.ipv4.tcp_fin_timeout = 30
# Keepalive 시간을 줄임 (기본값 7200)
net.ipv4.tcp_keepalive_time = 1800

# increase open port
# 열수 있는 로컬 포트를 늘림 (기본값은 1024 4996)
net.ipv4.ip_local_port_range = 32768 61000

-----------------------------------------------------------
목록보기
        X  
54  해킹 체크 스크립트  2004-01-08 177
53  레드햇 8.0 에서의 iptables 설정파일  2004-01-06 517
52  레드햇 7.3 에서의 iptables 설정파일  2004-01-06 194
 커널 레벨 취약점 보완  2004-01-06 196
50  Portsentry Configration..  2004-01-06 392
49  레드햇 8.0 에서의 iptable configration  2004-01-06 181
48  메일서버(QMAIL) 구축 - 19. pop3 설치하기  2004-01-06 147
47  메일서버(QMAIL) 구축 - 18. 메일을 다른 호스트의 메일계정으로 포워딩  2004-01-06 167
46  메일서버(QMAIL) 구축 - 17. 메일 수신 테스트  2004-01-06 161
45  메일서버(QMAIL) 구축 - 16. 메일 송신 테스트하기  2004-01-06 151
44  메일서버(QMAIL) 구축 - 15. 리부팅 후, qmail의 정상적인 작동 확인  2004-01-06 145
43  메일서버(QMAIL) 구축 - 14. 각 사용자별로 메일 송수신 디렉토리 만들기  2004-01-06 147
42  메일서버(QMAIL) 구축 - 13. /var/qmail/rc 생성하기  2004-01-06 154
41  메일서버(QMAIL) 구축 - 12. sendmail 죽이기  2004-01-06 149
40  메일서버(QMAIL) 구축 - 11. 액세스 컨트롤 파일 작성  2004-01-06 154
1 2 3 4 5