いくつかのカーネル・パラメータを使用して、様々な種類の攻撃を防止できます。

kernel.randomize_va_spaceは、特定のタイプのバッファ・オーバーフロー攻撃を撃退するのに役立つ、アドレス空間配置のランダム化(ASLR)を制御します。 値0はASLRを無効化し、1はスタック、仮想動的共有オブジェクト(VDSO)ページ、共有メモリー領域の位置をランダム化し、2はスタック、VDSOページ、共有メモリー領域およびデータ・セグメントの位置をランダム化します。 デフォルト設定である2を使用することをお薦めします。

net.ipv4.conf.all.accept_source_routeは、ローカル・ネットワーク外で生成された可能性のあるソースルーテイング・パケットの処理を制御します。 値0はこのようなパケットを拒否し、値1は受け入れます。 デフォルト設定である0を使用することをお薦めします。

net.ipv4.conf.all.rp_filterは、IPアドレス・スプーフィングを撃退するための受信パケットのリバース・パス・フィルタリングを制御します。 値0ではソースの検証が無効化され、値1ではソース・アドレスのルーティング表エントリが到着するネットワーク・インターフェイスと一致しない場合はパケットが削除され、値2ではリバース・パスによるソースの検証に失敗した場合はパケットが削除されます(RFC 1812を参照)。 デフォルト設定は0です。 値2ではその他に、ローカル・ネットワーク・トポロジが複雑でRIPまたは静的ルートが使用されている場合、有効なパケットが削除される可能性があります。

net.ipv4.icmp_echo_ignore_broadcastsは、Smurf DoS攻撃を防ぐためにICMPブロードキャストを無視するかどうかを制御します。 値1はこのようなブロードキャストを無視し、値0は承認します。 デフォルト設定である1を使用することをお薦めします。

net.ipv4.icmp_ignore_bogus_error_messageは、ICMPボーガス・エラー・メッセージ・レスポンスを無視するかどうかを制御します。 値1はこのようなメッセージを無視し、値0は承認します。 デフォルト設定である1を使用することをお薦めします。

カーネル・パラメータの値を変更するには、次の例のように、設定を/etc/sysctl.confに追加します。

kernel.randomize_va_space = 1

その後、sysctl -pコマンドを実行します。