Примечание: Этот вопрос пока не решен - ответ был принят автоматически.
У меня есть Debian Lenny VPS, который виртуализирован Parallels / Virtuozzo. В настоящее время сетевой интерфейс не имеет адреса IPv6 - и это хорошо, потому что у меня нет ip6tables
конфигурация.
Но я предполагаю, что однажды я могу проснуться, и ifconfig покажет мне адрес ipv6 для интерфейса - потому что у меня нет контроля над ядром или его модулями - они находятся под контролем хостинговой компании. Это сделает сервер полностью уязвимым для атак с адресов IPv6.
Как лучше всего отключить IPv6 (для интерфейса или, может быть, для всего хоста)? Обычно я просто отключаю модуль ядра, но в данном случае это невозможно.
Может, мне стоит добавить, что я могу использовать iptables
и все нормально (я root на VPS), но я не может вносить изменения в ядро или загружать модули ядра из-за особенностей работы ПК Р-Виртуализация (общее ядро).
lsmod
всегда ничего не возвращает.
Я не могу позвонить ip6tables -L
(там написано, что мне нужно insmod или что нужно обновить ядро).
Я не думаю, что это изменится на /etc/modprobe.d/aliases
будет иметь какой-либо эффект, или они?
Я подумал, что, может быть, я смогу отключить IPv6 из / etc / network / ... Это возможно?
Я тестировал это только на Ubuntu, но вы можете попробовать следующее:
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
И если это сработает, вы можете сделать его постоянным, добавив в /etc/sysctl.conf
:
net.ipv6.conf.all.disable_ipv6=1
Я считаю, что в настоящее время лучший способ отключить IPv6 в Debian Lenny - создать файл в /etc/modprobe.d
названный ipv6.conf
с участием blacklist ipv6
в нем, затем беги depmod -ae
как корень, за которым следует update-initramfs -u
.
Об этом написано на вики-странице debian.org здесь: http://wiki.debian.org/KernelModuleBlacklisting
Удачи!
--джед
Есть довольно простой способ защитить себя от атак на IPv6.
Не используйте сервисы для прослушивания, которые не должны быть открыты для всего мира. По крайней мере, простое принуждение служб к привязке к определенному адресу IPv4 должно гарантировать, что они не прослушивают IPv6. netstat -tupl
может помочь с этим.
Брандмауэры должны существовать по двум причинам: * Защита служб с помощью ограниченное доступ в мир (тут тоже помогают TCP-обертки) * Защита от собственных ошибок
Лучшее решение - настроить конфигурацию iptables, охватывающую v6.
В противном случае большинство демонов позволят вам указать адреса интерфейсов для привязки по умолчанию all. Явно перечислите адреса v4, которые вы хотите, и тогда они не будут оставлять открытые порты на адресах v6, если вы позже их получите. Однако исходящие соединения по-прежнему предпочитают адреса v6.
Здесь вы рискуете, но не хост-провайдер общаться любые потенциальные изменения ядра, подобные этому, для клиентов? Испытывали ли вы что-нибудь (обновление ядра и т. Д.), Что заставило бы вас поверить, что это произойдет без предварительного уведомления? Кроме того, они вообще маршрутизируют трафик IPv6 в / из своей сети? Может быть, лучше всего просто выразить свою озабоченность в поддержку и уйти оттуда.
Я не могу сейчас протестировать его на debian, но на Redhat вы можете изменить файл / etc / sysconfig / network и добавить «NETWORKING_IPV6 = no»
Не уверен, поможет ли это, но OpenVZ (Открытый исходный код Virtuozzo), похоже, не поддерживает IPv6.
Разве блокирование всего в ip6tables не решило бы вашу проблему? Он также позволяет вам реализовать ipv6 iptables всякий раз, когда вы захотите, без повторного включения ipv6.
Другой вариант - настроить некоторые полностью поддельные настройки IPv6, чтобы, даже если провайдер включил их, он вообще не работал в этой системе (да, это очень глупо, но это сработает, чтобы никто не делал что-либо с IPv6 на ваша система).
Удачи,
--джед
IP-маршрут del :: / 0
удалите маршрут по умолчанию, который фактически нарушит подключение IPv6.