Quindi, il lynis mi informa che dovrei annullare net.ipv4.tcp_timestamps
.
So che è una cosa negativa perché un utente malintenzionato potrebbe capire quali aggiornamenti richiedono il riavvio della macchina che non ho applicato, o potrebbero usarlo per capire la mia pianificazione degli aggiornamenti e provare ad attaccare nel breve intervallo durante il quale il riavvio della macchina ma prima che il firewall arrivi online, o qualcos'altro che non ho pensato.
Capisco che non è l'ideale.
Tuttavia, secondo RFC 1323 (e questo ):
The timestamps are used for two distinct mechanisms: RTTM (Round Trip Time Measurement) and PAWS (Protect Against Wrapped Sequences)
Anche quelli sembrano cose carine e utili da avere. Detto questo, IIRC dalle mie classi di networking che il metodo RTTM non è assolutamente necessario per determinare RTT, e la finestra scorrevole di TCP rende improbabili i problemi di sequenza, ma poiché non si tratta di uno scherzo RFC, presumo che abbiano avuto un Una buona ragione per proporre queste cose e implementatori aveva una buona ragione per implementarle.
Esistono (probabilmente) svantaggi / implicazioni di usabilità o sicurezza negative per disabilitare questa funzione?
Inoltre, c'è un modo in cui posso avere e mangiare la mia torta (ad esempio, dicendo al kernel di inizializzarlo con un valore casuale e introdurre jitter nel periodo degli aggiornamenti di timestamp, o inizializzarlo con alcuni dei bit dell'orologio di sistema, quindi non possono usare un improvviso, grande cambiamento di timestamp per dire che si è verificato di recente un riavvio)?