Назад | Перейти на главную страницу

Отключить IPv6 на Debian VPS (Virtuozzo!)

Примечание: Этот вопрос пока не решен - ответ был принят автоматически.

У меня есть Debian Lenny VPS, который виртуализирован Parallels / Virtuozzo. В настоящее время сетевой интерфейс не имеет адреса IPv6 - и это хорошо, потому что у меня нет ip6tables конфигурация.

Но я предполагаю, что однажды я могу проснуться, и ifconfig покажет мне адрес ipv6 для интерфейса - потому что у меня нет контроля над ядром или его модулями - они находятся под контролем хостинговой компании. Это сделает сервер полностью уязвимым для атак с адресов IPv6.

Как лучше всего отключить IPv6 (для интерфейса или, может быть, для всего хоста)? Обычно я просто отключаю модуль ядра, но в данном случае это невозможно.

Обновить

Может, мне стоит добавить, что я могу использовать iptables и все нормально (я root на VPS), но я не может вносить изменения в ядро ​​или загружать модули ядра из-за особенностей работы ПК Р-Виртуализация (общее ядро).

lsmod всегда ничего не возвращает.

Я не могу позвонить ip6tables -L (там написано, что мне нужно insmod или что нужно обновить ядро).

Я не думаю, что это изменится на /etc/modprobe.d/aliases будет иметь какой-либо эффект, или они?

Конфигурация сети?

Я подумал, что, может быть, я смогу отключить IPv6 из / etc / network / ... Это возможно?

Я тестировал это только на Ubuntu, но вы можете попробовать следующее:

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

И если это сработает, вы можете сделать его постоянным, добавив в /etc/sysctl.conf:

net.ipv6.conf.all.disable_ipv6=1

Я считаю, что в настоящее время лучший способ отключить IPv6 в Debian Lenny - создать файл в /etc/modprobe.d названный ipv6.conf с участием blacklist ipv6 в нем, затем беги depmod -ae как корень, за которым следует update-initramfs -u.

Об этом написано на вики-странице debian.org здесь: http://wiki.debian.org/KernelModuleBlacklisting

Удачи!

--джед

Есть довольно простой способ защитить себя от атак на IPv6.

Не используйте сервисы для прослушивания, которые не должны быть открыты для всего мира. По крайней мере, простое принуждение служб к привязке к определенному адресу IPv4 должно гарантировать, что они не прослушивают IPv6. netstat -tupl может помочь с этим.

Брандмауэры должны существовать по двум причинам: * Защита служб с помощью ограниченное доступ в мир (тут тоже помогают TCP-обертки) * Защита от собственных ошибок

Лучшее решение - настроить конфигурацию iptables, охватывающую v6.

В противном случае большинство демонов позволят вам указать адреса интерфейсов для привязки по умолчанию all. Явно перечислите адреса v4, которые вы хотите, и тогда они не будут оставлять открытые порты на адресах v6, если вы позже их получите. Однако исходящие соединения по-прежнему предпочитают адреса v6.

Здесь вы рискуете, но не хост-провайдер общаться любые потенциальные изменения ядра, подобные этому, для клиентов? Испытывали ли вы что-нибудь (обновление ядра и т. Д.), Что заставило бы вас поверить, что это произойдет без предварительного уведомления? Кроме того, они вообще маршрутизируют трафик IPv6 в / из своей сети? Может быть, лучше всего просто выразить свою озабоченность в поддержку и уйти оттуда.

Я не могу сейчас протестировать его на debian, но на Redhat вы можете изменить файл / etc / sysconfig / network и добавить «NETWORKING_IPV6 = no»

Не уверен, поможет ли это, но OpenVZ (Открытый исходный код Virtuozzo), похоже, не поддерживает IPv6.

Разве блокирование всего в ip6tables не решило бы вашу проблему? Он также позволяет вам реализовать ipv6 iptables всякий раз, когда вы захотите, без повторного включения ipv6.

Другой вариант - настроить некоторые полностью поддельные настройки IPv6, чтобы, даже если провайдер включил их, он вообще не работал в этой системе (да, это очень глупо, но это сработает, чтобы никто не делал что-либо с IPv6 на ваша система).

Удачи,

--джед

IP-маршрут del :: / 0

удалите маршрут по умолчанию, который фактически нарушит подключение IPv6.