/etc/sysctl.conf のコメント行の日本語訳。
/etc/sysctl.conf
システム変数を設定する為の設定ファイルです。
ここに掲載されていないシステム変数については
/etc/sysctl.d/ を参照してください。
詳細は sysctl.conf(5) を参照してください。
kernel.domainname = example.com
コンソール上で低レベルのメッセージを停止します。
kernel.printk = 3 4 1 3
netbase において事前に検索される機能
なりすまし保護(リバースパスフィルタ)を有効にします。
なりすまし攻撃を防ぐ為にすべてのインターフェイスにおいて
送信元アドレス検証をオンにします。
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
TCP/IP SYN cookie を有効にします
注: これは IPv6 TCP セッションにも影響を与える可能性があります。
net.ipv4.tcp_syncookies = 1
IPv4 パケット転送を有効にします。
net.ipv4.ip_forward = 1
IPv6 パケット転送を有効にします。
このオプションを有効にすると、ホストのルーター通知に基づく
ステートレスアドレス自動設定が無効になります。
net.ipv6.conf.all.forwarding = 1
任意の設定
以下の設定はホストのネットワークセキュリティと、
リダイレクションを介したなりすまし攻撃や中間者攻撃を含む、
いくつかのネットワーク攻撃に対する防御を向上させることができます。
ただし一部のネットワーク環境では、これらの設定を無効にする必要があります。
確認のうえ必要に応じて有効にしてください。
ICMP リダイレクトを無視します(MITM 攻撃を防ぎます)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
ゲートウェイリストにデフォルトで列記されているゲートウェイに対してのみ
ICMP リダイレクトの受信を許可します。(デフォルトで有効)
net.ipv4.conf.all.secure_redirects = 1
ICMP リダイレクトを送信しません(当該端末はルーターではありません)
net.ipv4.conf.all.send_redirects = 0
IP ソースルートパケットを無視します(当該端末はルータではありません)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
あり得ないパケット(不審なパケット?)を記録します。
net.ipv4.conf.all.log_martians = 1
マジックシステムリクエストキー
- 0 = 無効
- 1 = すべて有効
Debian カーネルはこれを 0 に設定します。(キーを無効にします)
0 以外の値を指定した場合の動作については sysrq.txt を参照してください。
kernel.sysrq = 1
保護されたリンク
特定の条件下でリンクを作成または追跡しないように保護します。
Debian カーネルは両方とも 1 (制限あり)に設定されています。
fs.txt を参照してください。
fs.protected_hardlinks = 0
fs.protected_symlinks = 0