El investigador de seguridad Jacob Appelbaum sugirió para evitar ciertas rutas de código en Linux kernel relacionado con conntrack que realiza el análisis de protocolos (como fdp, sip, etc.) directamente en el kernel para propósitos de endurecimiento.
¿Cómo deshabilitar el análisis del protocolo conntrack en el kernel de Linux?
Hay varias formas de configurar los parámetros del módulo, tanto temporal y persistent . La respuesta anterior proporciona solo un cambio temporal que, además, no funciona si el módulo ya está cargado.
El cambio entrará en vigor tan pronto como se cargue el módulo, ya sea que se realice de forma manual o automática en el arranque. Si el módulo ya está cargado, debe reiniciar o cargarlo y descargarlo, lo que puede o no ser posible si tiene dependencias inamovibles. Para hacer esto, cree un archivo, como /etc/modprobe.d/no_conntrack_helper.conf , con el siguiente contenido:
options nf_conntrack nf_conntrack_helper=0
Esto requiere que el módulo se descargue antes de ejecutar el comando. Los cambios desaparecerán cuando se descargue el módulo o cuando el sistema se reinicie. Puede cambiar parámetros específicos pasándolos como argumentos a la utilidad modprobe al cargar el módulo. Cargue el módulo como root:
modprobe nf_conntrack nf_conntrack_helper=0
Algunos módulos pueden modificar sus parámetros incluso después de que se haya cargado el módulo. Esto se puede hacer escribiendo a un archivo especial en sysfs . No sé si el parámetro específico que desea cambiar se puede modificar en tiempo de ejecución, pero si puede, debería ejecutar el siguiente comando como root:
echo 0 > /sys/module/nf_conntrack/parameters/nf_conntrack_helper