Je suis un guide de sécurité( http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics ) pour renforcer mon OpenVZ Serveur web VPS basé sur Ubuntu 12.04 Une partie de ce document demande de modifier le fichier sysctl.conf. Mais je ne suis pas sûr que tout cela ait vraiment un sens dans une conteneur openVZ car il s'agit d'un noyau partagé.
Voici les modifications suggérées pour sysctl.conf
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1Lorsque j'ai essayé de les tester avec mon conteneur OpenVZ, j'ai eu un refus de permission pour 3 de ces entrées qui ont probablement été verrouillées par mon hébergeur.
error: permission denied on key 'net.ipv4.tcp_max_syn_backlog'
error: permission denied on key 'net.ipv4.tcp_synack_retries'
error: permission denied on key 'net.ipv4.tcp_syn_retries'Ma question est la suivante : Est-ce que cela a vraiment du sens d'inclure ces éléments dans mon sysctl.conf dans un environnement de conteneur openVZ ? Je veux renforcer la sécurité sur mon serveur mais je ne suis pas sûr qu'ils soient efficaces dans mon conteneur openVZ.
