/etc/sysctl.conf 또는 /etc/sysctl.d/ 파일에 다음 설정을 지정하여 라우팅을 비활성화할 수 있습니다.
net.ipv4.ip_forward=0
루트로 명령을 실행하여 직접 비활성화할 수도 있습니다.
echo 0 > /proc/sys/net/ipv4/ip_forward
이는 커널 명령줄의 부트로더에서도 수행할 수 있습니다(참조:https://unix.stackexchange.com/a/593688/44864) 그리고
sysctl.net.ipv4.ip_forward=0
내 문제는 액세스 권한을 얻은 악의적인 행위자가 쉽게 다시 활성화할 수 있다는 것입니다. 커널 명령줄 매개변수를 재정의할 수 있다는 점은 실망스럽습니다(5.10에서 테스트).
아마도 유일한 방법은 IP 경로를 컴파일하거나 모듈로 블랙리스트에 올리지 않고 내 자신의 커널을 구축하는 것이라는 말이 맞습니까?
내 말이 맞다면 어떤 모듈을 비활성화해야 합니까? 내 노트북의 /boot/config를 보면 가능한 후보는 CONFIG_IP_ADVANCED_ROUTER, CONFIG_IP_ROUTE_MULTIPATH, CONFIG_IP_ROUTE_VERBOSE 및 CONFIG_IP_ROUTE_CLASSID입니다.
도움과 통찰력을 주셔서 감사합니다.
답변1
변경을 방지하는 유일한 방법은 grsecurity 커널을 설치하는 것이라고 생각합니다.
빠른 시작 가이드는 다음과 같습니다.여기.
오늘 밤에는 이를 추가로 작성하기 위한 단계를 진행하겠습니다.