Linux-System-Check

Die Default-Konfiguration nahezu aller Linux-Distributionen ist eher suboptimal für Angriffs-Szenarien vorbereitet. Insbesondere einfache SYN-Floods lösen bestimmte Prozesse im Linux-Kernel aus, die unerwünscht, aber durch überschaubare Konfiguration in den Griff zu bekommen sind.

Es sollte bei allen Maschinen, die aus dem Internet erreichbar sind, folgendes sichergestellt sein:

  • Route-Cache deaktivieren (net.ipv4.rt_cache_rebuild_count=-1)
  • SYN-Cookies aktivieren (net.ipv4.tcp_syncookies=1)
  • RP-Filter aktivieren (net.ipv4.conf.default.rp_filter=1, net.ipv4.conf.all.rp_filter=1)
  • Selbst-DoSen deaktivieren (Output von ICMP-Typ 3 droppen, sowie TCP-SYNs und UDP an nicht offene Ports)
  • Netfilter conntrack deaktivieren oder mit NOTRACK sicherstellen, dass der conntrack-Table nicht überfüllt wird
  • keine extensiven iptables-Regeln verwenden, bei hohen Paketraten führt dies schnell zur Überlastung der CPU, so dass Pakete verloren gehen

Wer diese Tipps befolgt, steigert die Überlebenschancen seiner Systeme schon erheblich. Auf Anwendungsebene insbesondere bei prozess-basierten Webservern wie Apache gibt es einige weitere Angriffsflächen, die wir in den nächsten Artikeln ansprechen werden.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.