Ricercatore di sicurezza Jacob Appelbaum suggerito per evitare determinati percorsi di codice nel linux kernel che sono collegati al conntrack che esegue l'analisi del protocollo (come fdp, sip, ecc.) direttamente nel kernel per scopi di hardening.
Come disabilitare l'analisi del protocollo conntrack nel kernel di linux?
Ci sono alcuni modi per impostare i parametri del modulo, entrambi temporaneo e persistente . La risposta precedente fornisce solo un cambiamento temporaneo che inoltre non funziona se il modulo è già caricato.
La modifica avrà effetto non appena il modulo viene caricato, sia che venga eseguito manualmente o automaticamente all'avvio. Se il modulo è già stato caricato, è necessario riavviarlo o caricarlo e scaricarlo, il che può essere o meno possibile se ha dipendenze non rimovibili. Per fare ciò, crea un file, ad esempio /etc/modprobe.d/no_conntrack_helper.conf , con i seguenti contenuti:
options nf_conntrack nf_conntrack_helper=0
Ciò richiede che il modulo venga scaricato prima di eseguire il comando. Le modifiche spariranno quando il modulo viene scaricato o quando il sistema si riavvia. È possibile modificare parametri specifici passandoli come argomenti sull'utilità modprobe durante il caricamento del modulo. Carica il modulo come root:
modprobe nf_conntrack nf_conntrack_helper=0
Alcuni moduli possono avere i loro parametri modificati anche dopo che il modulo è stato caricato. Questo può essere fatto scrivendo su un file speciale in sysfs . Non so se il parametro specifico che vuoi modificare possa essere modificato in fase di esecuzione, ma se è possibile, dovresti eseguire il seguente comando come root:
echo 0 > /sys/module/nf_conntrack/parameters/nf_conntrack_helper