セキュリティ研究者のJacob Appelbaum 推奨 強化のためにカーネルでプロトコル解析(fdp、sipなど)を行うconntrackに関連するLinuxカーネルの特定のコードパスを回避します。
Linuxカーネルでconntrackプロトコル解析を無効にする方法は?
temporary と persistent の両方のモジュールパラメータを設定する方法はいくつかあります。前の回答は一時的な変更のみを提供しており、モジュールがすでにロードされている場合は機能しません。
変更は、モジュールがロードされるとすぐに有効になります。起動時に手動で行われるか、自動で行われるかは関係ありません。モジュールがすでにロードされている場合は、再起動するか、モジュールをロードしてアンロードする必要があります。これは、削除できない依存関係がある場合は不可能です。これを行うには、次の内容で/etc/modprobe.d/no_conntrack_helper.conf
などのファイルを作成します。
options nf_conntrack nf_conntrack_helper=0
これには、コマンドを実行する前にモジュールをアンロードする必要があります。モジュールがアンロードされるか、システムが再起動すると、変更は消えます。モジュールをロードするときにmodprobe
ユーティリティに引数として渡すことにより、特定のパラメーターを変更できます。ルートとしてモジュールをロードします。
modprobe nf_conntrack nf_conntrack_helper=0
一部のモジュールは、モジュールがロードされた後でもパラメーターを変更できます。これは、sysfs
内の特別なファイルに書き込むことで実行できます。変更する特定のパラメーターを実行時に変更できるかどうかはわかりませんが、可能であれば、次のコマンドをrootとして実行することをお勧めします。
echo 0 > /sys/module/nf_conntrack/parameters/nf_conntrack_helper
モジュールを無効にすることができます。
modprobe nf_conntrack nf_conntrack_helper=0
モジュールを完全に無効にせずにヘルパーを保護する方法の詳細については、こちらをご覧ください https://home.regit.org/netfilter-en/secure-use-of-helpers/