Normalmente i parametri da settare all’avvio per i firewall li metto nello script stesso, avendo riscritto il tutto da 0 in un ottica diversa ed essendo un numero molto maggiore dell’usuale ho deciso di usare sysctl che \u00e8 poi nato per quello, ho quindi creato nella directory \/etc\/sysctl.d\/ il file ale.conf che contiene sia i parametri di sicurezza che quelli di ottimizzazione.<\/p>\n
ale.conf<\/p>\n
kernel.printk = 4 4 1 7
\nkernel.panic = 10
\nkernel.sysrq = 0
\nkernel.shmmax = 4294967296
\nkernel.shmall = 4194304
\nkernel.core_uses_pid = 1
\nkernel.msgmnb = 65536
\nkernel.msgmax = 65536
\n#
\nkernel.pid_max = 65536
\nkernel.exec-shield = 1
\nkernel.randomize_va_space = 1
\n#
\nvm.swappiness = 20
\nvm.dirty_ratio = 80
\nvm.dirty_background_ratio = 5
\nfs.file-max = 2097152
\nnet.core.netdev_max_backlog = 262144
\nnet.core.rmem_default = 31457280
\nnet.core.rmem_max = 67108864
\nnet.core.wmem_default = 31457280
\nnet.core.wmem_max = 67108864
\nnet.core.somaxconn = 65535
\nnet.core.optmem_max = 25165824
\nnet.ipv4.neigh.default.gc_thresh1 = 4096
\nnet.ipv4.neigh.default.gc_thresh2 = 8192
\nnet.ipv4.neigh.default.gc_thresh3 = 16384
\nnet.ipv4.neigh.default.gc_interval = 5
\nnet.ipv4.neigh.default.gc_stale_time = 120
\nnet.netfilter.nf_conntrack_max = 10000000
\nnet.netfilter.nf_conntrack_tcp_loose = 0
\nnet.netfilter.nf_conntrack_tcp_timeout_established = 1800
\nnet.netfilter.nf_conntrack_tcp_timeout_close = 10
\nnet.netfilter.nf_conntrack_tcp_timeout_close_wait = 10
\nnet.netfilter.nf_conntrack_tcp_timeout_fin_wait = 20
\nnet.netfilter.nf_conntrack_tcp_timeout_last_ack = 20
\nnet.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20
\nnet.netfilter.nf_conntrack_tcp_timeout_syn_sent = 20
\nnet.netfilter.nf_conntrack_tcp_timeout_time_wait = 10
\nnet.netfilter.nf_conntrack_helper = 1
\nnet.ipv4.tcp_slow_start_after_idle = 0
\nnet.ipv4.ip_local_port_range = 1024 65000
\nnet.ipv4.ip_no_pmtu_disc = 1
\nnet.ipv4.route.flush = 1
\nnet.ipv4.route.max_size = 8048576
\nnet.ipv4.icmp_echo_ignore_broadcasts = 1
\nnet.ipv4.icmp_ignore_bogus_error_responses = 1
\nnet.ipv4.tcp_congestion_control = bbr
\nnet.ipv4.tcp_mem = 65536 131072 262144
\nnet.ipv4.udp_mem = 65536 131072 262144
\nnet.ipv4.tcp_rmem = 4096 87380 33554432
\nnet.ipv4.udp_rmem_min = 16384
\nnet.ipv4.tcp_wmem = 4096 87380 33554432
\nnet.ipv4.udp_wmem_min = 16384
\nnet.ipv4.tcp_max_tw_buckets = 1440000
\nnet.ipv4.tcp_tw_recycle = 0
\nnet.ipv4.tcp_tw_reuse = 1
\nnet.ipv4.tcp_max_orphans = 400000
\nnet.ipv4.tcp_window_scaling = 1
\nnet.ipv4.tcp_rfc1337 = 1
\nnet.ipv4.tcp_syncookies = 1
\nnet.ipv4.tcp_synack_retries = 1
\nnet.ipv4.tcp_syn_retries = 2
\nnet.ipv4.tcp_max_syn_backlog = 16384
\nnet.ipv4.tcp_timestamps = 1
\nnet.ipv4.tcp_sack = 1
\nnet.ipv4.tcp_fack = 1
\nnet.ipv4.tcp_ecn = 2
\nnet.ipv4.tcp_fin_timeout = 10
\nnet.ipv4.tcp_keepalive_time = 600
\nnet.ipv4.tcp_keepalive_intvl = 60
\nnet.ipv4.tcp_keepalive_probes = 10
\nnet.ipv4.tcp_no_metrics_save = 1
\nnet.ipv4.ip_forward = 1
\nnet.ipv6.conf.all.forwarding = 1
\nnet.ipv4.conf.all.accept_redirects = 0
\nnet.ipv4.conf.all.send_redirects = 0
\nnet.ipv4.conf.all.accept_source_route = 0
\nnet.ipv4.conf.all.rp_filter = 1
\nnet.ipv4.tcp_synack_retries = 1<\/p>\n
La fonte da cui ho preso questi paramatri \u00e8 :
\nhttps:\/\/javapipe.com\/blog\/iptables-ddos-protection\/<\/p>\n
Ovviamente li ho adattati alla mia esigenza.
\nADDENDUM
\nQualche giorno dopo aver realizzato questo file sono venuti fuori un paio di avvisi di sicurezza sul kernel e di conseguenza ho creato sempre il sysctl.d il file ker.conf che contiene queste righe:
\n### https:\/\/www.qualys.com\/2021\/07\/20\/cve-2021-33909\/sequoia-local-privilege-escalation-linux.txt
\nkernel.unprivileged_userns_clone = 0
\nkernel.unprivileged_bpf_disabled = 1<\/p>\n","protected":false},"excerpt":{"rendered":"
Normalmente i parametri da settare all’avvio per i firewall li metto nello script stesso, avendo riscritto il tutto da 0 in un ottica diversa ed essendo un numero molto maggiore dell’usuale ho deciso di usare sysctl che \u00e8 poi nato per quello, ho quindi creato nella directory \/etc\/sysctl.d\/ il file ale.conf che contiene sia i […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[109,8,14,6],"tags":[185,183,184],"class_list":["post-1778","post","type-post","status-publish","format-standard","hentry","category-firewall","category-linux","category-networking","category-work","tag-kernel-parameters","tag-sysctl","tag-sysctl-d"],"_links":{"self":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1778","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1778"}],"version-history":[{"count":6,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1778\/revisions"}],"predecessor-version":[{"id":2185,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1778\/revisions\/2185"}],"wp:attachment":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1778"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1778"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1778"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}