Tcp_syncookies

[bluehead]

Hallo liebe Sicherheitsfachkräfte im Serverwesen,

wie finde ich eigentlich heraus, ob mein System mit der Funktion "TCP_Syncookies" gebacken wurde?

Ein
cat /proc/sys/net/ipv4/tcp_syncookies

Ergibt die Ausgabe 0

Wie finde ich also raus, ob eine Aktivierung dieser syncookies mit
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

erfolgreich war?

 

[Roger Wilco]

wie finde ich eigentlich heraus, ob mein System mit der Funktion "TCP_Syncookies" gebacken wurde?

$ zgrep CONFIG_SYN_COOKIES /proc/config.gz
CONFIG_SYN_COOKIES=y

Wie finde ich also raus, ob eine Aktivierung dieser syncookies mit
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

erfolgreich war?

$ sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 0

 

[bluehead]

MOD: Bitte keine Fullquotes! Danke

Moin Roger,

vielen dank für deine Mühe.

Also
~# zgrep CONFIG_SYN_COOKIES /proc/config.gz

ergibt:
gzip: /proc/config.gz: No such file or directory


und
~# sysctl net.ipv4.tcp_syncookies

ergibt
net.ipv4.tcp_syncookies = 0


Was sagt mir das aus?

 

[Roger Wilco]

Was sagt mir das aus?

Dass dein Kernel ohne CONFIG_IKCONFIG_PROC kompiliert wurde und dass die TCP-SYN-Cookies auf deinem System derzeit deaktiviert, aber grundsätzlich einkompiliert sind.

 

[bluehead]

Dass dein Kernel ohne CONFIG_IKCONFIG_PROC kompiliert wurde und dass die TCP-SYN-Cookies auf deinem System derzeit deaktiviert, aber grundsätzlich einkompiliert sind.

sei mir nicht böse, bin dir sehr dankbar, aber kannst du mir auch sagen, wie ich jetzt am besten verfahren kann, um diese zu aktivieren?

 

[Roger Wilco]

sei mir nicht böse, bin dir sehr dankbar, aber kannst du mir auch sagen, wie ich jetzt am besten verfahren kann, um diese zu aktivieren?

$ sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 0
$ sysctl net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1
$ sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 1
$ sysctl net.ipv4.tcp_syncookies=0
net.ipv4.tcp_syncookies = 0
$ sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 0

Ab und zu soll es auch helfen, die Manpages der verwendeten Programme zu lesen.

 

[bluehead]

Ab und zu soll es auch helfen, die Manpages der verwendeten Programme zu lesen.

Ja ich weiß ja, und du hast auch Recht. Aber irgendwie fummel ich mich da seit geraumer Zeit durch, aber irgendwie bin ich nicht voran gekommen.

Jedenfalls danke ich dir .. so ist das Ergebnis jedenfalls "1" ..hoffe, das bleibt nach Neustart auch so

DANKE dir Roger ..

 

[Roger Wilco]

hoffe, das bleibt nach Neustart auch so

Nein, aber dafür bieten die meisten Distributionen einen entsprechenden Mechanismus an, etwa die /etc/sysctl.conf.

 

[bluehead]

Nein, aber dafür bieten die meisten Distributionen einen entsprechenden Mechanismus an, etwa die /etc/sysctl.conf.

achso, na ja ich packs einfach in mein ip-tables-script, was sich in init.d befindet, um von runlevel 2 aufgerufen wird beim bootvorgang