デフォルトでセキュアな多くのネットワークパラメータはチューニング可能で、デフォルトから変更されている可能性があります。サイトの条件が許す場合は、次のチューニング可能パラメータをデフォルト値に戻します。
始める前に
Network Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
デフォルト値で、なりすましパケットからの DOS 攻撃が回避されます。
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
詳細は、Oracle Solaris 11.2 カーネルのチューンアップ・リファレンスマニュアル のforwarding (ipv4 または ipv6)を参照してください。
デフォルト値で、ネットワークトポロジに関する情報の流布が回避されます。
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
デフォルト値により、パケットがネットワークセキュリティー対策をバイパスすることを回避します。ソースルーティングされたパケットにより、パケットの送信元は、ルーターに構成されているパスと異なるパスを提案できます。
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
詳細は、Oracle Solaris 11.2 カーネルのチューンアップ・リファレンスマニュアル の_rev_src_routesを参照してください。
関連項目
ipadm(1M) のマニュアルページ