Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

robindesbois · Le 30/12/2014, à 18:11

Bonjour la room.

Je n'ai pas trouvé d'autre section que celle-ci qui pourrait à peu près correspondre avec ma demande, (un message aux modos qui passeraient par là, si je suis hors section, merci de rediriger ce message dans une section que vous jugerez plus adéquate svp).

Hier Ignus m'a appris que l'on pouvait paramétrer des options du noyau (dans un but de sécurisation du réseau IPv4) grace au fichier appelé : sysctl.conf

La première chose que j'ai appris à ses côtés est de mettre la valeur à 0 (zéro, pour désactivé) dans ce fichier :

/proc/sys/net/ipv4/conf/all/accept_source_route

On peut le faire de cette façon :

echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

En ouvrant le fichier sysctl.conf (qui se trouve dans le dossier /etc/), j'ai vu que l'on pouvait décommenter deux lignes(décommenter, pour ceux qui ne savent pas, c'est enlever le signe # devant la ligne que l'on souhaite activer), la première fait la même opération qu'au dessus, et la seconde la reproduit également, mais sur le protocole IPv6. Ce qui donne (si l'on veut désactiver ces fonctions) :

# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

Dans ce fichier sysctl.conf, nous n'avons donc qu'à enlever les signes # devant chacune de ses lignes, pour qu'au démarrage, ces options soient comprises par le noyau (qu'elles aient la valeur 0 ou 1), pour rappel le 0 à la fin de ligne désactive ce que la commande dit, le 1 active ce que la commande dit.

Je souhaiterai apprendre avec vous, quelles sont vos paramètres sur ce fichier sysctl.conf s'il vous plaît, et ce qu'ils font. Je ne connais rien d'autres sur sysctl.conf, je suis donc débutant, merci de votre patience.

robindesbois · Le 30/12/2014, à 19:20

Petit retour vite fait, car je dois dire que je suis très emballé, je dois taper dans un terminal en root ces deux commandes à chaque démarrage du PC pour un soft, et là avec deux lignes dans le sysctl.conf, je n'aurai plus jamais besoin de le faire, donc un grand merci.

Pour détailler un peu :

Dans un terminal administrateur je devais donc entrer cela :

# echo 3072 > /proc/sys/kernel/random/write_wakeup_threshold
# echo 1536 > /proc/sys/kernel/random/read_wakeup_threshold

Mais c'est du passé ! J'ai modifié le sysctl.conf et ai ajouté ces deux lignes (en fin de fichier) :

kernel/random/write_wakeup_threshold = 3072
kernel/random/read_wakeup_threshold = 1536

Voilà, de quoi démarrer cette nouvelle année allégé (mais non, pas ensolleillée nunuche !!)

tiramiseb · Le 30/12/2014, à 23:59

Attention, dans le fichier sysctl.conf le séparateur est le ".", pas le "/" !

Par ailleurs, si tu veux des détails sur tout ça, renseigne-toi surtout à propos de /proc/sys et tout ce que tu peux trouver dedans.
Enfin, tu peux commencer par regarder le contenu de sysctl.conf, il y a pas mal de choses intéressantes.

PengouinPdt · Le 31/12/2014, à 00:44

Quoiqu'il en soit on peut partager des informations ensembles ... ;-)

Mon fichier /etc/sysctl.conf est très complet, par exemple ...

D'ailleurs, hier soir, je suis tombé sur ces infos : http://konstruktoid.net/2014/06/28/ubun … endations/

Dernière modification par PengouinPdt (Le 31/12/2014, à 00:52)

tiramiseb · Le 31/12/2014, à 00:51

Mon fichier /etc/sysctl.conf

Pour les paramétrages de réseau, si tu configures les "[...].all", alors tu n'as pas besoin de configurer individuellement les trucs, interface par interface.

Concernant le rp_filter, déjà qu'il ne sert à rien sur une machine qui n'est pas un routeur, il est vraiment totalement inutile sur lo... Et ce n'est pas le seul.
À mon avis, tu as mis en place plein de trucs inutiles. Mais bon, c'est ta machine, tu fais ce que tu veux.

N'oublions cependant pas que la sécurité vient également par la simplicité.

PengouinPdt · Le 31/12/2014, à 00:55

tiramiseb a écrit :

Mon fichier /etc/sysctl.conf
Pour les paramétrages de réseau, si tu configures les "[...].all", alors tu n'as pas besoin de configurer individuellement les trucs, interface par interface.

C'est bien ce qu'il me semblait ... tu me le confirmes.

tiramiseb a écrit :

(...)
N'oublions cependant pas que la sécurité vient également par la simplicité.

Là, j'en suis personnellement d'avis ...
De toute façon, en général, la simplicité est la meilleure des options.

tiramiseb · Le 31/12/2014, à 00:59

De toute façon, en général, la simplicité est la meilleure des options.

Alors arrête d'activer plein de trucs inutiles dans ton sysctl.conf

robindesbois · Le 31/12/2014, à 01:11

tiramiseb a écrit :

Attention, dans le fichier sysctl.conf le séparateur est le ".", pas le "/" !

Si les deux sont acceptés par le sysctl (voir la catégorie Paramètres et en dessous variable). Mais c'est peu connu. cela dit, et cela fonctionne très bien, j'ai testé ce soir.

tiramiseb · Le 31/12/2014, à 01:12

Ah oui, tiens. Je suis tellement habitué au point que je n'avais même pas remarqué.
Mais c'est pas bô

robindesbois · Le 31/12/2014, à 01:17

PengouinPdt a écrit :

Quoiqu'il en soit on peut partager des informations ensembles ... ;-)
Mon fichier /etc/sysctl.conf est très complet, par exemple ...
D'ailleurs, hier soir, je suis tombé sur ces infos : http://konstruktoid.net/2014/06/28/ubun … endations/

Bonsoir (et bonsoir la room aussi),

merci pour ce partage, ton fichier m'intéresse bcp PengouinPdt .Je ne peux pas aborder tous les points d'un coup, je voulais te demander des infos sur les deux paramètres suivant :

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.lo.log_martians = 1
net.ipv4.conf.eth0.log_martians = 1

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syncookies = 1

À quoi correspondent les valeurs(3.2.1) données aux syncookies svp ? Et que sont les logs martians svp ? Merci bcp.

Dernière modification par robindesbois (Le 31/12/2014, à 01:19)

robindesbois · Le 31/12/2014, à 01:18

tiramiseb a écrit :

Ah oui, tiens. Je suis tellement habitué au point que je n'avais même pas remarqué.
Mais c'est pas bô

C'est vrai que du coup mon sysctl est un peu moche, mais je le laisse comme ça, parce qu'il me ressemble lol

PengouinPdt · Le 31/12/2014, à 01:41

robindesbois a écrit :

(...)

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.lo.log_martians = 1
net.ipv4.conf.eth0.log_martians = 1

Comme l'a dit tiramiseb tu peux commenter les deux derniers.
Cela permet de journaliser l'activité de paquets "bizarres" ... avec des adresses "improbables".

robindesbois a écrit :

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syncookies = 1
À quoi correspondent les valeurs(3.2.1) données aux syncookies svp ? Et que sont les logs martians svp ? Merci bcp.

Sachant que j'ai des problèmes de mémoire, dues à maladie chronique et médicaments, et que mes connaissances réseaux sont vieilles ... cela fait plus de 3 ans, que je ne fais plus de réseaux, en milieu professionnel : - bref, vous aurez toutes les raisons de me traiter de nul. Sachant que j'ai peut-être, certainement, mal compris certaines choses, en tant qu'autodidacte, surtout ...
Ce qui me reste en mémoire est ce que j'avais à chercher à comprendre ces choses, dans le contexte d'Iptables.

- tcp_syn_retries est le nombre de fois auquel tu autorises le système à émettre à nouveau une demande de connexion ...
- tcp_synack_retries est le nombre de réponses permises relatives aux demandes de connexion.
- tcp_syncookies est une technique de protection contre les demandes de connexion en très grand nombre ... (cf : https://fr.wikipedia.org/wiki/SYN_cookie : histoire de vulgariser). L'usage de tcp_syncookie est assez contreversée - il paraît que cela viole le protocole TCP.

Dernière modification par PengouinPdt (Le 31/12/2014, à 01:47)

robindesbois · Le 31/12/2014, à 09:59

Bonjour la room et bonjour PengouinPdt.

Merci pour ces précisions, elles en appellent d'autres ! Sur le lien du Konstruktoid que tu as donné, je ne sais pas ce que font ces réglages, merci de vos explications encore une fois

fs.protected_hardlinks = 1
fs.protected_symlinks = 1
fs.suid_dumpable = 0
kernel.kptr_restrict = 2
kernel.panic = 60
kernel.panic_on_oops = 60
kernel.randomize_va_space = 2
kernel.sysrq = 0
kernel.yama.ptrace_scope = 1

Edit, j'ai trouvé quasi toutes les infos et explications, sauf les deux derniers réglages :

kernel.sysrq = 0
kernel.yama.ptrace_scope = 1

Ils nous prémunissent de quel soucis svp ??

Dernière modification par robindesbois (Le 31/12/2014, à 10:33)

PengouinPdt · Le 31/12/2014, à 12:17

robindesbois a écrit :

(...)
Edit, j'ai trouvé quasi toutes les infos et explications, sauf les deux derniers réglages :
kernel.sysrq = 0
kernel.yama.ptrace_scope = 1
Ils nous prémunissent de quel soucis svp ??

Salut :

- pour sysrq, voici la doc kernel en anglais : https://www.kernel.org/doc/Documentation/sysrq.txt
En fr : https://fr.wikipedia.org/wiki/Magic_SysRq_key : active ou non la combinaison de touches pour les actions systèmes dites "magiques".

- pour les options "yama" du kernel, ce sont de nouvelles fonctionnalités dites de sécurité ... je cherche plus d'info.
https://www.kernel.org/doc/Documentatio … y/Yama.txt

Dernière modification par PengouinPdt (Le 31/12/2014, à 12:24)

robindesbois · Le 31/12/2014, à 12:29

Merci bcp, je n'avais pas trouvé ces liens

Dernière modification par robindesbois (Le 31/12/2014, à 12:30)

PengouinPdt · Le 31/12/2014, à 12:41

Pour SysRq, il est intéressant de lire notre doc, aussi :
- https://doc.ubuntu-fr.org/touches_magiques
- https://doc.ubuntu-fr.org/dontzap

Tu liras, entres autres, que certains considèrent cela comme une faille de sécurité ... personnellement, je trouve intéressant, néanmoins j'aimerais trouver en quoi ce serait une faille ! J'aimerais comprendre le raisonnement ;-)
- https://www.debian.org/doc/manuals/secu … h4.fr.html <= cf le chapitre 4.9 ;-)
Apparemment, elles sont utilisables aussi à distance, dans une console ... parfois intégrées dans des rootkits, par exemple.

Dernière modification par PengouinPdt (Le 31/12/2014, à 13:07)

robindesbois · Le 31/12/2014, à 13:00

Merci pour ces nouveaux liens, je vais aller les lire maintenant que j'ai fini celui-là :

L'histoire de YAMA par Linuxfr.org

Après lecture, on se rend compte que YAMA = YABON (vraiment bon même pour ceux qui ne comprennent rien à SELinux).

PengouinPdt · Le 31/12/2014, à 13:32

YAMA = YABON ?! Je ne serais pas aussi affirmatif ...
YAMA semble intéressant et l'est dans le sens où son but est de protéger le kernel de manière simple, mais juste sur certains aspects du kernel, et non de manière généralisée. Apparemment, il ne faut pas se leurrer : cela fait consensus parce que Google a décidé de l'intégrer dans Chrome OS, et Canonical dans ... *buntu.
Par contre, comme le dit la documentation kernel, utiliser Yama, signifie rajouter cette commande "security=yama" à la ligne de commande de Grub, et désactive les autres modules de sécurité LSM, telle qu'AppArmor ... ce que je n'arrive pas à savoir, c'est si cela désactive l'ensemble des autres outils, ou juste la/les fonctionnalités adhocs. Puisqu'il est parlé de modularité ... et d'empilages de modules - ce qui signifie un fonctionnement concomitant, si je ne me trompe pas !

En passant, si un hacker apparemment réputé dit de SELinux que c'est trop lourd à gérer ... il a clairement ses raisons.
Moi, en mode parano, officiellement la NSA a travaillé dessus. Des informations qu'il retourne, grâce aux "veilleurs" (lanceurs d'alerte), on est en droit de se poser des questions et de douter ... mais rien ne dit qu'ils n'ont pas dépêché des agents pour travailler sur d'autres projets LSM.
Mais ça, c'est un autre débat ... très complexe ... certainement trop pour mes petites épaules ;-)

Dernière modification par PengouinPdt (Le 31/12/2014, à 15:03)

robindesbois · Le 31/12/2014, à 14:44

Merci des infos PenguoinPdt, est-ce normal que ce point crucial sur l'activation obligatoire dans le Brub (sécurity=yama) ne soit pas indiqué sur la doc de Yama ? ( https://git.kernel.org/cgit/linux/kerne … ecfbdcf8eb )

PS : existe-t-il une ligne de commande pour vérifier si Yama est actif en ce moment svp ?

Dernière modification par robindesbois (Le 31/12/2014, à 14:46)

PengouinPdt · Le 31/12/2014, à 15:01

Toi tu as mal lu la doc - lignes 2 à 4 :

To select it at boot time, specify "security=yama" (though this will disable
any other LSM).

D'ailleurs, c'est le même mode opératoire pour les autres modes de sécurité, tels que Smack, Tomoyo, voire AppArmor.
Ce n'est pas le cas de SELinux, puisque plus intrinséque au kernel, c'est-à-dire durant la phase de compilation ...

Après, je parle du Grub, parce que c'est un moyen d'activer les options du kernel ... ce n'est peut-être pas le meilleur ... cela reste simple et efficace - à moins que je ne me trompe.

PS : malheureusement, entre temps, et très rapidement, d'autres n'ont apparemment pas envie d'intervenir sur ce sujet de sysctl ... c'est dommage, on gagnerait certainement en assurance.

Dernière modification par PengouinPdt (Le 31/12/2014, à 15:09)

robindesbois · Le 31/12/2014, à 15:20

J'avais fait une recherche avec mot clé "grub" du coup je suis passé à côté, merci de l'info. Pour Apparmor, je ne n'ai pas modifié le grub, cela s'est-il fait automatiquement ? Ou est-ce que j'aurai du le faire je ne sais pas. Je sais que dans les processus actifs visibles avec la commande chkconfig --list, il apparaît comme actif, mais que à la fin (sur sa ligne), chkconfig donne un S:on, mais les numéros avant (1 2 3 4 5 0 6 sont tous en off), donc peut-être que j'interprète mal ces résultats aussi.

Pour revenir à Grub, l'ajout de security=yama serait à placer dans le fichier /boot/grub/grub.cfg svp ? Désolé mais ça non plus je ne le connais pas. (ça ne fera qu'un inculte de plus qui utilise Ubuntu cela dit).

Dernière modification par robindesbois (Le 31/12/2014, à 15:28)

PengouinPdt · Le 31/12/2014, à 15:28

non, fichier /etc/default/grub, ce sont les options GRUB_CMDLINE_LINUX ... cf : https://doc.ubuntu-fr.org/grub-pc#confi … n_manuelle

robindesbois · Le 31/12/2014, à 15:29

Encore merci...

robindesbois · Le 31/12/2014, à 17:51

Petit passage pour dire qu'au lien donné du Konstruktoid : http://konstruktoid.net/2014/06/28/ubun … endations/

Ils auraient pu au moins annoter d'un astérix* la ligne sur Yama ( kernel.yama.ptrace_scope = 1 ), c'est le seul réglage qui a besoin d'une manipulation spéciale supplémentaire (manipulation du fichier Grub). Pas grave, et Bonnes Fêtes...

Dernière modification par robindesbois (Le 31/12/2014, à 17:54)

tiramiseb · Le 31/12/2014, à 18:16

robindesbois: "astérisque", pas "astérix"

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/12/2014, à 18:11

Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#2 Le 30/12/2014, à 19:20

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#3 Le 30/12/2014, à 23:59

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#4 Le 31/12/2014, à 00:44

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#5 Le 31/12/2014, à 00:51

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#6 Le 31/12/2014, à 00:55

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#7 Le 31/12/2014, à 00:59

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#8 Le 31/12/2014, à 01:11

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#9 Le 31/12/2014, à 01:12

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#10 Le 31/12/2014, à 01:17

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#11 Le 31/12/2014, à 01:18

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#12 Le 31/12/2014, à 01:41

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#13 Le 31/12/2014, à 09:59

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#14 Le 31/12/2014, à 12:17

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#15 Le 31/12/2014, à 12:29

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#16 Le 31/12/2014, à 12:41

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#17 Le 31/12/2014, à 13:00

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#18 Le 31/12/2014, à 13:32

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#19 Le 31/12/2014, à 14:44

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#20 Le 31/12/2014, à 15:01

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#21 Le 31/12/2014, à 15:20

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#22 Le 31/12/2014, à 15:28

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#23 Le 31/12/2014, à 15:29

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#24 Le 31/12/2014, à 17:51

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

#25 Le 31/12/2014, à 18:16

Re : Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

Pied de page des forums