Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Hardening Kernel Simple

liberodark

Bonjour,

Si vous voulez faire un peut de hardening.
Voici quelques règles de base que vous pouvez appliquer.

Cette configuration est recommandé si vous avez pas d'option avancé en ipv6.

Editer votre sysctl :

sudo nano /etc/sysctl.conf

Coller ce contenue dans sysctl.conf :

# Filtrage par chemin inverse
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1 
# Ne pas envoyer de redirections ICMP
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Refuser les paquets de source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Ne pas accepter les ICMP de type redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
# Loguer les paquets ayant des IPs anormales
net.ipv4.conf.all.log_martians = 1
# RFC 1337
net.ipv4.tcp_rfc1337 = 1
# Augmenter la plage pour les ports éphémères
net.ipv4.ip_local_port_range = 32768 65535
# Utiliser les SYN cookies
net.ipv4.tcp_syncookies = 1
# Désactiver le support des "router solicitations"
net.ipv6.conf.all.router_solicitations = 0
net.ipv6.conf.default.router_solicitations = 0
# Ne pas accepter les "router preferences" par "router advertisements"
net.ipv6.conf.all.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
# Pas de configuration auto des prefix par "router advertisements"
net.ipv6.conf.all.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
# Pas d'apprentissage du routeur par défaut par "router advertisements"
net.ipv6.conf.all.accept_ra_defrtr = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
# Pas de configuration auto des adresses à partir des "router advertisements"
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
# Ne pas accepter les ICMP de type redirect
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Refuser les packets de source routing
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Nombre maximal d'adresses autoconfigurées par interface
net.ipv6.conf.all.max_addresses = 1
net.ipv6.conf.default.max_addresses = 1

Vous pouvez ajouter aussi cette option.
Qui est recommandé si vous avez pas de vpn ou d'option de routage :

# Pas de routage entre les interfaces
net.ipv4.ip_forward = 0

Appliquer la configuration :

sudo sysctl -p

Voilà vous avez quelques configurations que vous pouvez appliquer assez librement.

Voici le hardening de l'ANSSI que je vous recommande :
En Français : https://www.ssi.gouv.fr/uploads/2016/01/linux_configuration-fr-v1.2.pdf
En Anglais : https://www.ssi.gouv.fr/uploads/2019/03/linux_configuration-en-v1.2.pdf

hmichael

Je donne le repo GH de la personne aussi => https://github.com/konstruktoid/hardening/blob/master/misc/sysctl.conf

Et l'ancien de Ubu => https://github.com/virtadpt/ubuntu-hardening/blob/master/16.04-lts/sysctl.conf

liberodark

hmichael Attention je ne connais pas ses repos et mon hardening ne viens pas de github.
Ce hardening est un hardening de l'ANSSI légèrement modifié.
Mais je ne peut pas mettre mon hardening ici il est privé.