Come disabilitare l'analisi del protocollo conntrack nel kernel di Linux?

5

Ricercatore di sicurezza Jacob Appelbaum suggerito per evitare determinati percorsi di codice nel linux kernel che sono collegati al conntrack che esegue l'analisi del protocollo (come fdp, sip, ecc.) direttamente nel kernel per scopi di hardening.

Come disabilitare l'analisi del protocollo conntrack nel kernel di linux?

    
posta adrelanos 25.04.2016 - 22:03
fonte

2 risposte

1

Puoi disabilitare il modulo.

modprobe nf_conntrack nf_conntrack_helper=0

Maggiori informazioni sulla protezione degli helper senza disattivare completamente il modulo possono essere trovate qui link

    
risposta data 25.04.2016 - 23:12
fonte
1

Ci sono alcuni modi per impostare i parametri del modulo, entrambi temporaneo e persistente . La risposta precedente fornisce solo un cambiamento temporaneo che inoltre non funziona se il modulo è già caricato.

Modifiche persistenti

La modifica avrà effetto non appena il modulo viene caricato, sia che venga eseguito manualmente o automaticamente all'avvio. Se il modulo è già stato caricato, è necessario riavviarlo o caricarlo e scaricarlo, il che può essere o meno possibile se ha dipendenze non rimovibili. Per fare ciò, crea un file, ad esempio /etc/modprobe.d/no_conntrack_helper.conf , con i seguenti contenuti:

options nf_conntrack nf_conntrack_helper=0

Modifiche temporanee (modprobe)

Ciò richiede che il modulo venga scaricato prima di eseguire il comando. Le modifiche spariranno quando il modulo viene scaricato o quando il sistema si riavvia. È possibile modificare parametri specifici passandoli come argomenti sull'utilità modprobe durante il caricamento del modulo. Carica il modulo come root:

modprobe nf_conntrack nf_conntrack_helper=0

Modifiche temporanee (sysfs)

Alcuni moduli possono avere i loro parametri modificati anche dopo che il modulo è stato caricato. Questo può essere fatto scrivendo su un file speciale in sysfs . Non so se il parametro specifico che vuoi modificare possa essere modificato in fase di esecuzione, ma se è possibile, dovresti eseguire il seguente comando come root:

echo 0 > /sys/module/nf_conntrack/parameters/nf_conntrack_helper
    
risposta data 01.02.2018 - 06:16
fonte

Leggi altre domande sui tag