Raspberry Pi 2で遊ぶ(Ver.2.0):sysctlでネットワークセキュリティ強化

このページは「Raspberry Pi記事まとめ 」に集約しています。

Raspberry Piの外部公開を想定した場合、それなりのセキュリティ対策を施す必要があります。
sshやiptables以外にもsysctlでセキュリティ対策があることが分かったのでメモします。

参考サイト

■ 基本情報
Raspberry Pi 2 Model B + Class10 16GB microSDXC + WLI-UTX-AG300
IPアドレス体系は192.168.24.0、DHCP運用
ホスト名はgusion、Avahiではgusion.local
ユーザ名はpiからakitakaに置き換え

sysctl.conf編集によるネットワークセキュリティ対策

IPv6関係はたぶんすべて切ってあるので、IPv4に関する箇所だけ編集します。

$ sudo vi /etc/sysctl.conf

【19行目あたりコメント外し】IP偽装保護
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

【25行目あたりコメント外し・挿入】SYN攻撃をブロック
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_max_syn_backlog=2048
net.ipv4.tcp_synack_retries=2
net.ipv4.tcp_syn_retries=5

【47行目あたりコメント外し・挿入】ICMPリダイレクトの無視
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects=0

【56行目あたりコメント外し・挿入】リダイレクト送信を無視
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

【59行目あたりコメント外し・挿入】ソースパケットルーティング禁止
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

【65行目あたりコメント外し・挿入】Maritanのログ
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

【最下行に追記】ICMPブロードキャストリクエストを無視
net.ipv4.icmp_echo_ignore_broadcasts = 1

【最下行に追記】直接のpingを無視
net.ipv4.icmp_echo_ignore_all = 1

ipv6の無効化に書いたときと同様、「/etc/sysctl.d/50-netsecure.conf」見たいなファイルを作ってそこに一括で書いてもいいかもしれません。

IPなりすまし防止

参考サイトにIPなりすまし防止の方法もあったので、sysctlと関係ないですがついでに編集しておきます。

$ sudo vi /etc/host.conf

【最下行に追記】
order bind,hosts
nospoof on

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中