Найдено в рунете, источник утерян:
Редактируем /etc/sysctl.conf
Код
# запрещаем просмотр списка всех процессов произвольным пользователем — пригодится на случай взлома
1 2 |
security.bsd.see_other_uids=0 security.bsd.see_other_gids=0 |
# запрещаем редирект пакетов — зачастую используется в хакерских целях
1 |
net.inet.ip.redirect=0 |
# запрешаем сорс-роутинг — зачастую используется в хакерских целях
1 2 |
net.inet.ip.sourceroute=0 net.inet.ip.accept_sourceroute=0 |
# поскольку машина с двумя интерфейсами, необходимо включить форвардинг пакетов между интерфейсами
1 |
net.inet.ip.forwarding=1 |
# защищаемся от разного рода icmp-атак
1 2 3 4 5 6 |
net.inet.icmp.log_redirect=1 net.inet.icmp.drop_redirect=1 net.inet.icmp.bmcastecho=0 net.inet.icmp.maskrepl=0 net.inet.icmp.icmplim=50 net.inet.tcp.icmp_may_rst=1 |
# ускоряем сетевой стек
1 2 3 4 |
net.inet.tcp.always_keepalive=1 net.inet.tcp.delayed_ack=0 net.inet.tcp.sendspace=131072 net.inet.tcp.recvspace=131072 |
# выключаем расширения TCP в целях обеспечения безопасности
1 |
net.inet.tcp.rfc1323=0 |
# логируем попытки изменения arp-кеша
1 2 |
net.link.ether.inet.log_arp_movements=1 net.link.ether.inet.log_arp_wrong_iface=1 |
# никак не влияет на безопасность, но избавляет от .core-файлов
1 |
kern.coredump=0 |
# на сетевых картах, поддерживающих поллинг заметно повышает производительность
1 |
kern.polling.enable=1 |