Михаил Флёнов - Linux глазами хакера
kernel.sysrq = 1
kernel.core_uses_pid = 1
#net.ipv4.tcp_ecn = 0
kernel.grsecurity.fifo_restrictions = 1
kernel.grsecurity.linking_restrictions = 1
# audit some operations
# аудит некоторых операций
kernel.grsecurity.audit_mount = 1
kernel.grsecurity.signal_logging = 1
#kernel.grsecurity.suid_logging = 1
kernel.grsecurity.timechange_logging = 1
kernel.grsecurity.forkfail_logging = 1
kernel.grsecurity.coredump = 1
# lock all security options
# блокировка всех опций безопасности
#kernel.grsecurity.grsec_lock = 1
Что представляют собой параметры, которые вы можете видеть в файле? Попробуем разобраться на примере net.ipv4.tcp_ecn. На самом деле это путь к файлу относительно каталога /proc/sys, в данном случае это файл /proc/sys/net/ipv4/tcp_ecn. Как видите, я просто заменил в параметре все точки на символ слэш и прибавил результат к подкаталогу /proc/sys. Выполните следующую команду, чтобы просмотреть содержимое файла:
cat /proc/sys/net/ipv4/tcp_ecn
В результате на экране вы должны увидеть 0 или 1. Это и есть значение параметра.
Но корректировать файл вручную нет смысла. Для изменения лучше использовать команду:
sysctl -w имя_параметра = значение
С помощью этой же команды можно просматривать значение параметров ядра:
sysctl имя_параметра
Например, следующая директива отобразит значение параметра
net.ipv4.tcp_ecn:
sysctl net.ipv4.tcp_ecn
В результате вы увидите то же значение, что и при просмотре файла /proc/sys/net/ipv4/tcp_ecn напрямую. Большинство параметров имеют логический тип, т.е. могут быть равны 0 (отключено) или 1 (включено).
Рассмотрим параметры, которые нужно изменить, а если их нет в файле, то добавить:
□ net.ipv4.icmp_echo_ignore_broadcasts — игнорировать широковещательные эхо-ICMP-пакеты (параметр включен);
□ net.ipv4.icmp_echo_ignore_all — запретить эхо-ICMP-пакеты (значение 1). Используйте этот параметр, если не хотите связываться с сетевым экраном. Запрет эхо-пакетов уменьшит трафик, хотя и незначительно, и при этом делает неэффективными любые атаки с помощью ping;
□ net.ipv4.conf.*.accept_redirects — разрешить принимать перенаправления маршрутизатора. В разд. 4.5.3 мы говорили о том. что это небезопасно и может позволить хакеру обмануть маршрутизатор и прослушать трафик атакуемой машины;
Вместо символа звездочка может быть любое имя директории. Дело в том, что в каталоге net.ipv4.conf находится несколько подкаталогов — по одному для каждого сетевого интерфейса. В вашей системе должно быть как минимум 4 директории со следующим распределением содержащейся в них информации:
• all — конфигурационные файлы, которые влияют на все интерфейсы;
• default — значения по умолчанию;
• eth0 — конфигурационные файлы первой сетевой карты;
• lo — конфигурационные файлы петлевого интерфейса loopback.
Звездочка указывает на то, что параметр должен быть назначен всем интерфейсам. В большинстве случаев достаточно заменить "*" на имя директории all, но иногда приходится подставлять все существующие директории;
□ net.ipv4.conf.*.secure_redirects — позволить принимать сообщения от шлюза по умолчанию о перенаправлении маршрутизатора. Параметр может быть включен, только если в вашей сети действительно более одного маршрутизатора, иначе лучше запретить;
□ net.ipv4.conf.*.send_redirects — разрешить компьютеру, если он является маршрутизатором, отправлять сообщения о перенаправлении пакетов. Если в сети несколько маршрутизаторов, то параметр можно включить, чтобы распределить нагрузку между ними и не пытаться пропускать весь трафик через основной шлюз;
□ net.ipv4.conf.*.accept_source_route — позволить принимать пакеты с маршрутизацией от источника. В разд. 14.12.2 мы поговорим об этом, а сейчас необходимо знать, что такие пакеты могут стать причиной обхода вашего сетевого экрана. Запретите этот параметр;
□ net.ip_always_defrag — дефрагментировать все приходящие пакеты. Так уж повелось, что сетевой экран проверяет только первый пакет, а все остальные считает разрешенными. Хакер может обойти сетевой экран, прибегая к разбивке посылки на части (см. разд. 4.13). Если установить этот параметр, то все входящие пакеты будут дефрагментированы, и обход сетевого экрана этим методом станет невозможным;
□ net.ipv4.ipfrag_low_thresh — определяет минимальный объем памяти, который выделяет ОС для сборки фрагментированных пакетов. Чем больше это значение, тем меньше будет манипуляций по выделению памяти. По умолчанию используется число 196608. Слишком большое значение отнимет лишнюю память и может привести к эффекту, при котором для обработки данных не хватит ресурсов сервера. Я бы оставил это значение по умолчанию;
□ net.ipv4.ipfrag_high_thresh — определяет максимальное количество памяти (по умолчанию 262144), выделяемое для сборки фрагментированных пакетов. Если значение превышено, то ОС начинает отбрасывать пакеты. Таким образом, хакер может закидать сервер большим количеством мусорных сообщений, и тот больше не будет выполнять дефрагментацию;
□ net.ipv4.ipfrag_time — определяет время хранения фрагментированных пакетов в кэше. По умолчанию используется значение 30 секунд. Это очень много, за это время хакер сможет забросать весь кэш. В случае атаки на систему следует понизить это значение до 20, а то и до 10 секунд;
□ net.ipv4.tcp_syncookies — продолжая тему DoS, я рекомендую включить этот параметр, чтобы защититься от атаки SYN flood, при которой на сервер направляется большое количество пакетов с запросом на соединение. Хакер устанавливает в пакетах ложный обратный адрес, и сервер ожидает соединения от несуществующих или ничего не подозревающих компьютеров. Таким образом, легко превышается максимально допустимое количество подключений.
Параметров ядра очень много, и рассматривать все мы не будем. Советую обратиться к документации.
14.11.2. Тюнинг HDD
Долгое время в ОС Linux для доступа к жесткому диску была отключена даже поддержка DMA (Direct Memory Access, прямой доступ к памяти), хотя эта возможность существует почти во всех материнских платах еще со времен первых компьютеров с процессором Pentium. ОС не использовала DMA в целях совместимости с более старыми компьютерами, поэтому функцию приходилось включать самостоятельно.
В современных дистрибутивах поддержка DMA уже включена, но работу винчестера можно еще оптимизировать. Для тестирования и настройки жесткого диска используется утилита hdparm. Для определения скорости работы диска выполните команду с ключом -t:
hdparm -t /dev/hda
В ответ вы получите сообщение типа:
Timing buffered disk reads: 64 MB in 3.02 seconds = 21.19MB/sec
Попробуйте в качестве параметра указать раздел:
hdparm /dev/hda2
В результате будут выведены параметры жесткого диска:
/dev/hda2:
multcount = 128 (on)
IO_support = 0 (default 16-bit)
unmaskirq = 0 (off)
using_dma = 1 (on)
keepsettings = 0 (off)
readonly = 0 (off)
readahead = 8 (on)
geometry = 2088/255/63, sectors = 32515560, start = 1028160
В этой информации есть много интересного:
□ multcount — количество слов, читаемых за один такт. Эта опция должна быть включена, и желательно установить значение 128. Это может повысить производительность на 30–50%. Для изменения значения используется ключ mX, где X — это устанавливаемое значение;
□ using_dma — режим DMA. Для включения используется ключ d1;
□ IO_support — режим доступа к диску. По умолчанию стоит 16-битный, но сейчас уже можно использовать 32-битный режим. Для включения используется ключ c3.
Это основные три параметра, которые могут реально повысить производительность. Итак, давайте установим значения в соответствии с указанными выше рекомендациями. Для этого выполните команду:
hdparm -m128d1c3/dev/hda
Как видите, мы просто перечислили все ключи и указали диск /dev/hda. Обратите внимание, что при определении устройства не стоит никаких цифр, которые указывали бы на раздел, т.к. доступ можно изменить только жесткому диску в целом.
После изменения параметров их необходимо сохранить с помощью команды:
hdparm -k1 /dev/hda
После этого снова выполните команду тестирования скорости работы диска hdparm -t /dev/hda.
Помимо того, что вы увидели с помощью команды hdparm /dev/hda2, появился еще один параметр — режим доступа. В настоящее время поддерживается три режима ATA 33/66/100. Сверьтесь с документацией на жесткий диск, чтобы узнать, что он поддерживает.
Для смены режима используется ключ X:
□ X34 — ATA33;
□ X68 — ATA66;
