web-dev-qa-db-ja.com

CentOSのTCP SACKを無効にする方法は?

「TCP SACK PANIC」と呼ばれる新しいセキュリティ脆弱性が発表されました。 https://access.redhat.com/security/vulnerabilities/tcpsack

LinuxカーネルのTCPネットワーキング)の処理に3つの関連する欠陥が見つかりました。最も深刻な脆弱性により、影響を受けるソフトウェアを実行しているシステムでリモートの攻撃者がカーネルパニックを引き起こし、結果として影響を与える可能性がありますシステムの可用性。

Register.co.ukが提案する回避策は、TCP SACKを無効にすることです。

https://www.theregister.co.uk/2019/06/17/linux_tcp_sack_kernel_crash/

パッチと軽減策が利用可能であり、必要に応じて手動で適用できます。または、リスクのあるデバイスにセキュリティ修正がプッシュまたは提供されるのを待つことができます。主な回避策は、/ proc/sys/net/ipv4/tcp_sackを0に設定することです。

CentOS 7.6.1810ではこれをどのように行いますか?

Sudo nanoを使用してファイルを0に編集しようとしましたが、権限がありません。権限を変更して書き込みアクセスを取得しようとすると、changing permissions of 'tcp_sack': Operation not permittedも返されました。

3
user2924019

あなたはできるはずです

echo "0" > /proc/sys/net/ipv4/tcp_sack

これは必ずsuperuserとして実行してください。通常のシステムユーザーには、この値を変更する権限がありません。


ちなみにこの変更は恒久的なものではありません。次のコードを/etc/sysctl.confに追加してブート時に適用すると、sysctl -pを使用できます変更を直接適用するには:

echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf
sysctl -p
3
Bart