web-dev-qa-db-fra.com

Les modifications apportées à sysctl.conf prennent-elles effet dans le conteneur openVZ?

Je suis un guide de sécurité ( http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics ) renforcer mon serveur Web VPS basé sur OpenVZ en cours d'exécution Ubuntu 12.04 , une partie de celui-ci demande à apporter quelques modifications à sysctl.conf. Mais je ne suis pas sûr que tout cela ait un sens dans un conteneur openVZ , car il s’agit d’un noyau partagé.

Voici les modifications suggérées pour sysctl.conf

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

Lorsque j'ai essayé de les tester avec mon conteneur OpenVZ, la permission a été refusée pour trois de ces entrées qui ont probablement été verrouillées par mon hôte.

error: permission denied on key 'net.ipv4.tcp_max_syn_backlog'
error: permission denied on key 'net.ipv4.tcp_synack_retries'
error: permission denied on key 'net.ipv4.tcp_syn_retries'

Maintenant, ma question est la suivante: est-il vraiment logique de les inclure dans mon sysctl.conf dans un environnement de conteneur openVZ? Je souhaite renforcer la sécurité sur mon serveur, mais je ne suis pas vraiment sûr que cela prendrait effet dans mon conteneur openVZ.

serverkernelsecurityopenvz
1
Rajat Gupta

Déjà répondu sur superuser.com :

il n'y a qu'un seul noyau en cours d'exécution pour l'hôte et tous les "VPS"

Pour des raisons de sécurité , le conteneur openVZ ne vous permettra pas de modifier les paramètres partagés pouvant avoir une incidence sur le serveur hôte , mais sur les paramètres du serveur hôte - au moins. beaucoup d'entre eux - affectera tous les conteneurs.
Si l'accès vous est refusé, vos paramètres sont ignorés pour des raisons de sécurité.
Un bon serveur hôte aura des mesures de sécurité qui empêcheront les vulnérabilités courantes au niveau du noyau d’affecter votre conteneur; dans un environnement partagé, informez toujours l'administrateur si vous trouvez des paramètres incorrects ou non sécurisés (il sera content, ne vous inquiétez pas)!
Vous êtes toujours autorisé à configurer le pare-feu iptables (guide officiel) dans votre conteneur: il bloquera une bonne gamme d’attaques!
Si vous avez d’autres questions, n'hésitez pas à répondre en commentant ci-dessous et n’oubliez pas d’appuyer sur la flèche Haut pour définir le favori si je peux vous aider.

Bonne après-midi.

2
Lorenzo Ancora