使用 Lubuntu 18.10 宇宙墨鱼
大多数命令都会坚持下去。然而,Lynis 多次证明了四个 sysctl 参数在重新启动时不会保留。sysctl -p 在系统启动后成功应用它们。
fs.suid_dumpable=0 (still haven't figured this out)
net.ipv4.conf.all.rp_filter=1 (Wireguard VPN overruled this; see source 1 below)
net.ipv4.conf.all.log_martians=1 (/etc/ufw/sysctl.conf overruled this)
net.ipv4.conf.default.log_martians=1 (/etc/ufw/sysctl.conf overruled this)
我最关心的是net.ipv4.conf.all.rp_filter,它应该设置为 1,但设置为 0...使机器容易受到 ip 欺骗。如何确保这些在启动时设置正确?注意更新:此功能会被 Wireguard(可能是 openvpn/其他)等 VPN 自动禁用,因此不会丢弃合法数据包,有关详细信息,请参阅上面的源代码。禁用 Wireguard VPN sysctl boot 命令会导致 fp_filter=1 按预期工作,可能会导致 Wireguard 出现问题。Lynis 误报,我将禁用此功能。警告在启动后禁用 Wireguard 不会(到目前为止)将其恢复到安全设置。sysctl -p必需的。
所有 sysctl.conf 文件的位置find / -name '*sysctl*.conf'
/usr/share/doc/procps/examples/sysctl.conf
/snap/core/6405/etc/sysctl.conf
/snap/core/6405/etc/sysctl.d/99-sysctl.conf
/snap/core18/719/etc/sysctl.d/99-sysctl.conf
/etc/sysctl.conf
/etc/ufw/sysctl.conf
/etc/sysctl.d/99-sysctl.conf
虚拟专用服务器的防火墙。
我正在研究如何防止 FIN 扫描,这让我想到了后果。
很多人都在使用这个规则:
-p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
因此,当有人向我发送一个 FIN = 1 的数据包时,我无法将 FIN/ACK 发回。
这似乎不太可能,但这是否意味着我建立的连接不会被停止?
这是如何运作的 ?我的连接是否保持活跃,如果是,持续多长时间?
当有人关闭他/她的浏览器时,这实际上是如何工作的?它向我的服务器发送一个 FIN,我的服务器用 FIN/ACK 回复......但浏览器无法接收,对吧?谁拿到包裹,它去哪儿了?
如果...远程机器向我的服务器发送一个 SYN,我的回复是 SYN/ACK 并且假设我没有收到 ACK,我的服务器等待它多久?
有未完成的 3 次握手的名称吗?谢谢你。