6.9. System hærdning

Hærdning af kernen er relevant på en firewall. Man kan for eksempel tilføje flg. til sit firewall script:


# Svar ikke på ping
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# undgå at være med til smurf angreb
/bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Tillad ikke source routing
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
for i in /proc/sys/net/ipv4/conf/*; do
    /bin/echo "1" > $i/rp_filter
done
# Log forsøg på source routing samt redirect
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

Det kræver en speciel kerne, hvor de forskellige nødvendige features er aktiveret. Man kan fx. godt køre en firewall på en kerne, som ikke har logging af fremmede (spoofede) pakker, også kaldet mars-boere, "Martians".