web-dev-qa-db-ja.com

再起動後にsysctlがスタックしない

Lubuntu 18.10 CosmicCuttlefishの使用

ほとんどのコマンドは固執します。ただし、Lynisは、4つのsysctlパラメーターが再起動時に固定されないことを繰り返し示しています。 sysctl -pは、システムの起動後にそれらを正常に適用します。

fs.suid_dumpable=0 (still haven't figured this out)
net.ipv4.conf.all.rp_filter=1 (Wireguard VPN overruled this; see source 1 below)
net.ipv4.conf.all.log_martians=1 (/etc/ufw/sysctl.conf overruled this)
net.ipv4.conf.default.log_martians=1 (/etc/ufw/sysctl.conf overruled this)

出典1

私が最も懸念しているのはnet.ipv4.conf.all.rp_filterです。これは1に設定する必要がありますが、0に設定すると...マシンがIPスプーフィングに対して脆弱なままになります。起動時にこれらが正しく設定されていることを確認するにはどうすればよいですか? 注の更新:これはWireguard(おそらくopenvpn/others)のようなVPNによって自動的に無効になるため、正当なパケットをドロップしません。詳細については、上記のソースを参照してください。 Wireguard VPN sysctl bootコマンドを無効にすると、fp_filter = 1が意図したとおりに機能し、Wireguardで問題が発生する可能性があります。 Lynis誤検知、機能のためにこれを無効のままにします。 警告起動後にWireguardを無効にしても、(現時点では)これは安全な設定に戻りません。 sysctl -pが必要です。

find / -name '*sysctl*.conf'を介したすべてのsysctl.confファイルの場所

/usr/share/doc/procps/examples/sysctl.conf
/snap/core/6405/etc/sysctl.conf
/snap/core/6405/etc/sysctl.d/99-sysctl.conf
/snap/core18/719/etc/sysctl.d/99-sysctl.conf
/etc/sysctl.conf
/etc/ufw/sysctl.conf
/etc/sysctl.d/99-sysctl.conf
1
tutudid

必要な値を含むファイル/etc/sysctl.d/local.confを作成します。

fs.suid_dumpable=0
net.ipv4.conf.all.log_martians=1 
net.ipv4.conf.all.rp_filter=1     
net.ipv4.conf.default.log_martians=1  

リブート。

スクリプトは、ファイル名の照合順序で、複数のディレクトリから* .confファイルをロードします。検索パスについては、 manページのsysctl --systemオプション を参照してください。

特に、/etc/sysctl.confで値がまだ定義されていないことを確認してください。保持したい値をsysctl.dに移動してから、そのファイルを削除することを検討してください。

1
John Mahowald