Вступают ли изменения в sysctl.conf в контейнер openVZ?

Question

Вступают ли изменения в sysctl.conf в контейнер openVZ?

Я следую руководству по безопасности ( http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics), чтобы усилить работу моего VPS-сервера на базе OpenVZ. Ubuntu 12.04, часть которого просит внести некоторые изменения в sysctl.conf. Но я не уверен, что все это действительно имеет смысл в контейнере openVZ, так как это общее ядро.

Вот изменения, которые предлагаются для sysctl.conf

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

Когда я попытался протестировать их с моим контейнером OpenVZ, мне было отказано в разрешении на 3 из этих записей, которые, вероятно, были заблокированы моим хостом.

error: permission denied on key 'net.ipv4.tcp_max_syn_backlog'
error: permission denied on key 'net.ipv4.tcp_synack_retries'
error: permission denied on key 'net.ipv4.tcp_syn_retries'

Теперь мой вопрос: имеет ли смысл включать их в мой файл sysctl.conf в среде контейнера openVZ? Я хочу усилить безопасность на своем сервере, но я не совсем уверен, вступят ли они в силу в моем контейнере openVZ.

1

server kernel security openvz

Источник

Rajat Gupta 13 мар '14 в 13:00

1 ответ

Другие вопросы по тегам server kernel security openvz

Lorenzo Ancora 13 мар '14 в 13:43 2014-03-13 13:43 · Answer 1 · 2014-03-13 13:43

Уже ответил на superuser.com:

для хоста и всех VPS-серверов работает только одно ядро

По соображениям безопасности контейнер openVZ не позволит вам изменить какие-либо общие настройки, которые могут повлиять на хост-сервер, но настройки на хост-сервере - по крайней мере, многие из них - будут влиять на все контейнеры.
Если вы получили отказ в доступе, ваши настройки игнорируются по соображениям безопасности.
Хороший хост-сервер будет иметь меры безопасности, которые не позволят распространенным уязвимостям уровня ядра повлиять на ваш контейнер; В общей среде всегда уведомляйте администратора, если вы обнаружите плохие или небезопасные настройки (он будет счастлив, не волнуйтесь)!
Вам по-прежнему разрешено настраивать межсетевой экран iptables (официальное руководство) в вашем контейнере: он заблокирует хороший диапазон атак!
Если у вас есть другие вопросы, не стесняйтесь отвечать, комментируя здесь, и не забудьте нажать стрелку ВВЕРХ и установить в избранное, если я вам помогу.

Добрый день.