LINUX HARDENINGСеть —это компьютер (с), так что начнем наш процесс с настроек TCP/IP. В целом еще нет глобальной поддержки IPv6, поэтому можно смело отключать поддержку этого протокола на сетевых интерфейсах. IPv6 довольно молодой и дырявый протокол, лишних проблем сего настройками нам не надо, как и лишних угроз.

Проверка ядра

[- f /proc/net/if_inet6 ] && &

echo ‘ IPv6 ready system!..’…..

Вывод интерфейсов с включенной поддержкой IPv6

ip — о — 6..add г

Остальные сетевые настройки: отключим поддержку ICMP — редиректов, форвардинг пакетов, ответы на широковещательный пинг —все эти чеки можно легко автоматизировать на bash:

Проверяем IP Forwarding (не роутер же у нас, а просто, сервер,,,)

if grep — q — P «A\snet\. ipv4\.«->…..

ip_forward\s=\sl\s$» /etc/sysctl.-1……

conf; then echo «IP Forwarding> enabled»; fi

Ho одно делов конфиге, другое делов памяти. Так даже будет надежнее. В конфиге может быть ничего не указано, а в памяти есть все текущие настройки:

if 1 grep — q — Р «A\s0\s$» /ргос/sys/ net/ipv4/ip_forward; then echo>…. «IP Forwarding enabled»; fi

Проверяем поддержку маршрутизации от источника (проверяем сразу для all и default и сразу в памяти) if (! (grep — q — Р «A\se\s$» &

/proc/sys/net/ipv4/conf/all/fr — ‘……

accept_sourc.e_.route &S grep — q — P.e «A\s0\s$» /ргос/sys/net/ipv4/conf/-‘ default/accept_source_route)); then «- e.C.hQ.»Source..routing enabled»; fi

Таким же образом проверяем остальные сетевые настройки:

net.ipv4.conf.(all)default).accept_ redirects —ставим 0, игнорируем ICMP — редиректы, так как не хотим, чтобы маршрут мог быть изменен.

net.ipv4.icmp_echo_ignore_broadcasts —ставим 1, кому нужны широковещательные пинги в двадцать первом веке? net.ipv4.icmp_ignore_bogus_error_ messages —зачем нам разбирать кривые ICMP — пакеты? Что там может быть хорошего, только логи засорять. В топку! net.ipv4.tcp_syncookies —тут надо ставить 1. Классическая защита от SYN flood атак, лишней не будет:).