¿Cómo deshabilitar el análisis del protocolo conntrack en el kernel de Linux?

5

El investigador de seguridad Jacob Appelbaum sugirió para evitar ciertas rutas de código en Linux kernel relacionado con conntrack que realiza el análisis de protocolos (como fdp, sip, etc.) directamente en el kernel para propósitos de endurecimiento.

¿Cómo deshabilitar el análisis del protocolo conntrack en el kernel de Linux?

    
pregunta adrelanos 25.04.2016 - 22:03
fuente

2 respuestas

1

Puedes deshabilitar el módulo.

modprobe nf_conntrack nf_conntrack_helper=0

Puede encontrar más información sobre cómo proteger a los ayudantes sin deshabilitar el módulo completamente aquí enlace

    
respondido por el Daisetsu 25.04.2016 - 23:12
fuente
1

Hay varias formas de configurar los parámetros del módulo, tanto temporal y persistent . La respuesta anterior proporciona solo un cambio temporal que, además, no funciona si el módulo ya está cargado.

Cambios persistentes

El cambio entrará en vigor tan pronto como se cargue el módulo, ya sea que se realice de forma manual o automática en el arranque. Si el módulo ya está cargado, debe reiniciar o cargarlo y descargarlo, lo que puede o no ser posible si tiene dependencias inamovibles. Para hacer esto, cree un archivo, como /etc/modprobe.d/no_conntrack_helper.conf , con el siguiente contenido:

options nf_conntrack nf_conntrack_helper=0

Cambios temporales (modprobe)

Esto requiere que el módulo se descargue antes de ejecutar el comando. Los cambios desaparecerán cuando se descargue el módulo o cuando el sistema se reinicie. Puede cambiar parámetros específicos pasándolos como argumentos a la utilidad modprobe al cargar el módulo. Cargue el módulo como root:

modprobe nf_conntrack nf_conntrack_helper=0

Cambios temporales (sysfs)

Algunos módulos pueden modificar sus parámetros incluso después de que se haya cargado el módulo. Esto se puede hacer escribiendo a un archivo especial en sysfs . No sé si el parámetro específico que desea cambiar se puede modificar en tiempo de ejecución, pero si puede, debería ejecutar el siguiente comando como root:

echo 0 > /sys/module/nf_conntrack/parameters/nf_conntrack_helper
    
respondido por el forest 01.02.2018 - 06:16
fuente

Lea otras preguntas en las etiquetas