对 sysctl.conf 的修改在 openVZ 容器中生效吗?

对 sysctl.conf 的修改在 openVZ 容器中生效吗?

我正在遵循安全指南(http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics)来加强我的开放VZ基于 VPS 网络服务器运行Ubuntu 12.04,其中一部分要求对 sysctl.conf 进行一些修改。但我不确定这一切是否真的有意义openVZ 容器,因为它是一个共享内核。

以下是针对 sysctl.conf 建议的编辑

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

当我尝试使用我的 OpenVZ 容器测试这些时,我被拒绝了其中 3 个条目的权限,这些条目可能已被我的主机锁定。

error: permission denied on key 'net.ipv4.tcp_max_syn_backlog'
error: permission denied on key 'net.ipv4.tcp_synack_retries'
error: permission denied on key 'net.ipv4.tcp_syn_retries'

现在我的问题是:在 openVZ 容器环境中将这些包含到我的 sysctl.conf 中真的有意义吗?我想加强服务器的安全性,但我不确定它们是否会在我的 openVZ 容器中生效。

答案1

已回答超级用户网

主机和所有“VPS”都只运行一个内核

出于安全原因openVZ 容器不允许您更改任何可能影响主机服务器的共享设置,但主机服务器中的设置(至少其中许多设置)将影响所有容器。
如果您收到拒绝访问,出于安全原因,您的设置将被忽略。
良好的主机服务器将具有安全措施,以防止常见的内核级漏洞影响您的容器;在共享环境中,如果发现不良或不安全的设置,请始终通知管理员(他会很高兴的,别担心)!
你仍然可以配置 iptables 防火墙(官方指南)在您的容器中:它将阻止一系列攻击!
如果您还有其他问题,请随时通过在此处发表评论来回答,如果我有任何帮助,请不要忘记按向上箭头并设置为收藏。

下午好。

相关内容