web-dev-qa-db-ja.com

Linuxカーネルでconntrackプロトコル解析を無効にする方法は?

セキュリティ研究者のJacob Appelbaum 推奨 強化のためにカーネルでプロトコル解析(fdp、sipなど)を行うconntrackに関連するLinuxカーネルの特定のコードパスを回避します。

Linuxカーネルでconntrackプロトコル解析を無効にする方法は?

5
adrelanos

temporarypersistent の両方のモジュールパラメータを設定する方法はいくつかあります。前の回答は一時的な変更のみを提供しており、モジュールがすでにロードされている場合は機能しません。

永続的な変更

変更は、モジュールがロードされるとすぐに有効になります。起動時に手動で行われるか、自動で行われるかは関係ありません。モジュールがすでにロードされている場合は、再起動するか、モジュールをロードしてアンロードする必要があります。これは、削除できない依存関係がある場合は不可能です。これを行うには、次の内容で/etc/modprobe.d/no_conntrack_helper.confなどのファイルを作成します。

options nf_conntrack nf_conntrack_helper=0

一時的な変更(modprobe)

これには、コマンドを実行する前にモジュールをアンロードする必要があります。モジュールがアンロードされるか、システムが再起動すると、変更は消えます。モジュールをロードするときにmodprobeユーティリティに引数として渡すことにより、特定のパラメーターを変更できます。ルートとしてモジュールをロードします。

modprobe nf_conntrack nf_conntrack_helper=0

一時的な変更(sysfs)

一部のモジュールは、モジュールがロードされた後でもパラメーターを変更できます。これは、sysfs内の特別なファイルに書き込むことで実行できます。変更する特定のパラメーターを実行時に変更できるかどうかはわかりませんが、可能であれば、次のコマンドをrootとして実行することをお勧めします。

echo 0 > /sys/module/nf_conntrack/parameters/nf_conntrack_helper
1
forest

モジュールを無効にすることができます。

modprobe nf_conntrack nf_conntrack_helper=0

モジュールを完全に無効にせずにヘルパーを保護する方法の詳細については、こちらをご覧ください https://home.regit.org/netfilter-en/secure-use-of-helpers/

1
Daisetsu