Hardening (blindagem virtual) do seu kernel Backtrack 4 - protegendo-se de ataques

[firebits]

Mais uma dica de Hardening (blindagem virtual).

O arquivo /etc/sysctl.conf é usado para configurar o parâmetros do kernel em tempo de execução (não de compilação, ou seja, você pode configurar algumas coisas sem precisar compilar).

O Linux lê e aplica as configurações do /etc/sysctl.conf ao dar boot.

Um exemplo de /etc/sysctl.conf:

# Habilita o execshield
kernel.exec-shield=1
kernel.randomize_va_space=1

# Habilita proteção contra IP spoofing
net.ipv4.conf.all.rp_filter=1

# Desabilita IP source routing
net.ipv4.conf.all.accept_source_route=0

# Ignora requisições de broadcasts
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

# Habilita log de pacotes spoof
net.ipv4.conf.all.log_martians = 1

Lembrando que estas configurações não são definitivas, apenas usa-se o 0 (zero) para desabilitar e o 1 (um) para habilitar.

Feito as mudanças com seu editor de texto preferido, é só dar um reboot e as configurações estão ativas.

Estou pesquisando se há alguma forma de fazer o mesmo método sem reiniciar.

Há o Ksplice, usado para aplicar patchs no kernel, mas acho que aparentemente não tem haver com estas configurações e estarei falando em outra ocasião.

Artigo Próprio por firebits
http://www.backtrack-linux.org/forum.../firebits.html

[g6okia]

Ola.

Ao fazer o update do sysctl usando o parametro -p da dois erros.

1. error: "kernel.exec-shield" is an unknown key
2. error: "net.ipv4.icmp_ignore_bogus_error_messages" is an unknown key

[firebits]

Bom g6okia, pelo que posso ver, acho que seu kernel não tem tais opções, por isso a mensagem "unknown key" ou seja, "chave desconhecida".

Como temos um Penetration Lab aqui e testamos várias coisas, deve ter sido algum kernel diferente.

Pode ignorar essas 2 chaves, então.

Qualquer coisa estamos aqui.

[spawn]

Mais uma dica de Hardening (blindagem virtual).

Lembrando que estas configurações não são definitivas, apenas usa-se o 0 (zero) para desabilitar e o 1 (um) para habilitar.

Feito as mudanças com seu editor de texto preferido, é só dar um reboot e as configurações estão ativas.

Estou pesquisando se há alguma forma de fazer o mesmo método sem reiniciar.

alucard sys # uname -a
Linux alucard 2.6.33-gentoo-r1-knight #1 SMP PREEMPT Sun Apr 11 13:25:15 BRT 2010 x86_64 Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz GenuineIntel GNU/Linux
alucard sys # pwd
/proc/sys
alucard sys # ls net/ipv4/
cipso_cache_bucket_size inet_peer_gc_mintime ipfrag_time tcp_dsack tcp_mem tcp_syn_retries
cipso_cache_enable inet_peer_maxttl neigh tcp_ecn tcp_moderate_rcvbuf tcp_synack_retries
cipso_rbm_optfmt inet_peer_minttl netfilter tcp_fack tcp_mtu_probing tcp_syncookies
cipso_rbm_strictvalid inet_peer_threshold route tcp_fin_timeout tcp_no_metrics_save tcp_timestamps
conf ip_default_ttl rt_cache_rebuild_count tcp_frto tcp_orphan_retries tcp_tso_win_divisor
icmp_echo_ignore_all ip_dynaddr tcp_abc tcp_frto_response tcp_reordering tcp_tw_recycle
icmp_echo_ignore_broadcasts ip_forward tcp_abort_on_overflow tcp_keepalive_intvl tcp_retrans_collapse tcp_tw_reuse
icmp_errors_use_inbound_ifaddr ip_local_port_range tcp_adv_win_scale tcp_keepalive_probes tcp_retries1 tcp_window_scaling
icmp_ignore_bogus_error_responses ip_no_pmtu_disc tcp_allowed_congestion_control tcp_keepalive_time tcp_retries2 tcp_wmem
icmp_ratelimit ip_nonlocal_bind tcp_app_win tcp_low_latency tcp_rfc1337 tcp_workaround_signed_windows
icmp_ratemask ipfrag_high_thresh tcp_available_congestion_control tcp_max_orphans tcp_rmem udp_mem
igmp_max_memberships ipfrag_low_thresh tcp_base_mss tcp_max_ssthresh tcp_sack udp_rmem_min
igmp_max_msf ipfrag_max_dist tcp_congestion_control tcp_max_syn_backlog tcp_slow_start_after_idle udp_wmem_min
inet_peer_gc_maxtime ipfrag_secret_interval tcp_cookie_size tcp_max_tw_buckets tcp_stdurg xfrm4_gc_thresh
alucard sys # ls net/ipv4/conf/
all default eth0 gre0 lo sit0 tunl0 vmnet1 vmnet8 wlan0
alucard sys # ls net/ipv4/conf/all/
accept_local arp_accept arp_ignore disable_policy forwarding medium_id rp_filter shared_media
accept_redirects arp_announce arp_notify disable_xfrm log_martians promote_secondaries secure_redirects src_valid_mark
accept_source_route arp_filter bootp_relay force_igmp_version mc_forwarding proxy_arp send_redirects tag

EX:

alucard sys # echo '1' > /proc/sys/net/ipv4/conf/all/rp_filter

NOTA: Se usar algum tipo de hardening no kernel como grsecurity, lids, SE linux, deve-se desabilitar as proteções de acordo com a hardenização feita.

[firebits]

Excelente post spawn!

São todos para ipv4, pelo que podemos ver?

Tem alguma sugestão para ipv6?

[spawn]

alucard ~ # ls /proc/sys/net/ipv6/conf/all/
accept_dad accept_ra_defrtr accept_redirects autoconf disable_ipv6 force_tllao hop_limit mtu router_solicitation_delay router_solicitations
accept_ra accept_ra_pinfo accept_source_route dad_transmits force_mld_version forwarding max_addresses proxy_ndp router_solicitation_interval