Sto esaminando i consigli CIS per debian 8.
In un test di conformità CIS che utilizza nessus, vedo che il test per disabilitare l'inoltro ip non è riuscito. Ma quando guardo il sistema, posso vedere che è in realtà disabilitato.
$ cat /proc/net/ipv4/ip_forward 0
Sembra che la raccomandazione del CIS sia quella di disattivare esplicitamente l'inoltro ip. Ma per quanto posso dire, se non abiliti esplicitamente ip_forwarding, rimarrà disabilitato.
C'è una ragione più grande per fare ciò che dice la raccomandazione, oltre a fare in modo che il parametro predefinito sia impostato?
Per riferimento, ho aggiunto il capitolo per ip_forwarding di seguito:
7.1.1 Disabilitazione dell'inoltro IP (Scored)
Applicabilità del profilo:
Livello 1
Descrizione: Il flag net.ipv4.ip_forward viene utilizzato per indicare al server se può inoltrare pacchetti o non. Se il server non deve essere utilizzato come router, impostare il flag su 0.
Motivazione: L'impostazione del flag su 0 garantisce che un server con più interfacce (ad esempio, un disco rigido proxy), non sarà mai in grado di inoltrare i pacchetti e, quindi, non servire mai come router.
Audit:
Effettuare quanto segue per determinare se net.ipv4.ip_forward è abilitato sul sistema.
# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
Remediation:
Imposta il parametro net.ipv4.ip_forward su 0 in /etc/sysctl.conf:
net.ipv4.ip_forward = 0
Modifica i parametri del kernel attivi in modo che corrispondano:
# /sbin/sysctl -w net.ipv4.ip_forward=0
# /sbin/sysctl -w net.ipv4.route.flush=1