[Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

anguille_sous_roche · 14-08-2016 14:16:18

Bonjour

grep -r default.log_martians /etc/sysctl.*

/etc/sysctl.d/80-local.conf:net.ipv4.conf.default.log_martians=1

sysctl -a | grep default.log_martians

net.ipv4.conf.default.log_martians = 0

Obligé de sysctl --system à chaque reboot.
Bizarrement certains paramètres de mon local.conf semble être pris en compte comme par exemple kernel.kptr_restrict = 2 .

Une idée ?

Dernière modification par anguille_sous_roche (14-08-2016 15:48:03)

raleur · 14-08-2016 14:34:01

Et dans les autres emplacements où sysctl --system cherche ?
Sinon, à part un autre programme qui modifie la valeur par derrière (pare-feu ?), je ne vois pas.

anguille_sous_roche · 14-08-2016 14:58:32

Merci d'avoir répondu raleur.
Bah sysctl --system va chercher dans /etc/sysctl.conf et /etc/sysctl.d/* j'ai bien vérifié , j'ai vérifié aussi si y'avait pas d’autre référence à "net.ipv4.conf.default.log_martians" dans /etc/sysctl.d/* et y'en a pas.
De plus quand je fais sysctl --system ça marche , les paramètre dans mon local.conf sont tous pris en compte et sysctl -a me donne bien net.ipv4.conf.default.log_martians=1 .

Pour ce qui est du pare-feu j'ai jamais rien bitter à iptables j'utilise ufw , ça touche aux paramètre kernel ?

raleur · 14-08-2016 15:07:15

anguille_sous_roche a écrit :

j'utilise ufw , ça touche aux paramètre kernel ?

Possible. C'est assez habituel que les pare-feu touchent à certaines valeurs dans /proc/sys/net. Comme je ne connais ufw que de nom, je ne peux pas en dire plus.

anguille_sous_roche a écrit :

sysctl --system va chercher dans /etc/sysctl.conf et /etc/sysctl.d/*

D'après sa page de manuel il regarde aussi à d'autres endroits :
/run/sysctl.d/*.conf
/usr/local/lib/sysctl.d/*.conf
/usr/lib/sysctl.d/*.conf
/lib/sysctl.d/*.conf

Mais elle ne dit rien sur l'ordre de chargement, si ça se trouve il n'est pas déterministe.
Mais je parierais plutôt sur ufw.

Dernière modification par raleur (14-08-2016 15:09:44)

anguille_sous_roche · 14-08-2016 15:11:34

Pour être plus clair :
après chaque reboot certains paramètres de mon local.conf ne sont pas pris en compte (et sysctl -a me renverra des valeur différente de mon local.conf),
si je tape sysctl --system puis sysctl -a , là les valeurs seront les bonnes .

anguille_sous_roche · 14-08-2016 15:14:22

J'ai lu le man moi aussi

. Les autres emplacement indiqués n'existe pas sur mon système.
Je vais désactiver ufw et reboot pour voir .

raleur · 14-08-2016 15:15:05

J'avais bien compris.

anguille_sous_roche · 14-08-2016 15:41:21

T'avais raison, c'est bien ufw .

less /etc/ufw/sysctl.conf

# Configuration file for setting network variables. Please note these settings

# override /etc/sysctl.conf. If you prefer to use /etc/sysctl.conf, please

# adjust IPT_SYSCTL in /etc/default/ufw.

#

.........

En tout cas c'est très sympa d'avoir répondu aussi justement et rapidement , merci raleur .

raleur · 14-08-2016 16:55:13

Bah de rien, je passais par là...

Gabriel · 13-01-2017 18:23:38

bonjour,

J'utilise aussi Ufw, Gufw
J'ai mis des trucs dans sysctl.conf aussi.

# On désactive ipv6 pour toutes les interfaces
net.ipv6.conf.all.disable_ipv6=1

# On désactive ipv6 de la configuration par défaut
net.ipv6.conf.default.disable_ipv6=1

# Désactive ipv6 Localhost
net.ipv6.conf.lo.disable_ipv6=1

# Désactive ipv6 eth0
net.ipv6.conf.eth0.disable_ipv6=1

# Désactive ipv6 wlan1
net.ipv6.conf.wlan1.disable_ipv6=1

# Désactive ipv6 wlan0
net.ipv6.conf.wlan0.disable_ipv6=1

# On désactive l’auto configuration pour toutes les interfaces
net.ipv6.conf.all.autoconf=1

# On désactive l’auto configuration par défaut
net.ipv6.conf.default.autoconf=1

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

Configuration file for setting network variables. Please note these settings
# override /etc/sysctl.conf. If you prefer to use /etc/sysctl.conf, please
# adjust IPT_SYSCTL in /etc/default/ufw.
#
.........

Je suis un peu perplexe sur la conduite à tenir.
Modifier le /etc/ufw/sysctl.conf ?
euhhh ou plutôt comme ils expliquent
mettre dans le /etc/default/ufw

IPT_SYSCTL=/etc/sysctl.conf

à la place de

IPT_SYSCTL=/etc/ufw/sysctl.conf

merci pour votre réponse, j'me suis mis à la file de la discussion car c'est le même sujet.

raleur · 13-01-2017 18:36:47

Quelle est la description du rôle de la variable IPT_SYSCTL dans /etc/default/ufw ?

Gabriel · 13-01-2017 18:50:00

j'avoue que j'ai mis tous ces trucs car j'ai suivi un tuto pour mieux protéger une machine sur le réseau
Mais là j'ai du mal à comprendre ce qu'il faut faire et je ne veux pas faire de gaffe.

voilà c qui est indiqué
Dans etc/default/ufw

#
# IPT backend
#
# only enable if using iptables backend
IPT_SYSCTL=/etc/ufw/sysctl.conf

anguille_sous_roche · 13-01-2017 20:16:04

Salut,
en fait tu fais comme tu veux,
soit tu fait :

nano /etc/default/ufw

...

IPT_SYSCTL= /etc/sysctl.conf 

...

et /etc/ufw/sysctl.conf ne sera pas pris en compte ,

soit tu laisse IPT_SYSCTL=/etc/ufw/sysctl.conf et dans ce cas si des paramètres kernel dans /etc/ufw/sysctl.conf et /etc/sysctl.conf sont contradictoires,
alors les paramètres dans /etc/ufw/sysctl.conf seront prioritaires sur ceux de /etc/sysctl.conf .

C'est d’ailleurs le problème que j'avais rencontré, net.ipv4.conf.default.log_martians était a 1 dans /etc/sysctl.d/80-local.conf et a 0 dans /etc/ufw/sysctl.conf donc
lors que je sysctl -a | grep default.log_martians , log_martians était égale a 0 .

ps:
1- Plutot que de modifier directement etc/sysctl.conf pour y ajouter tes paramètres perso, je te conseil de crée un nouveau fichier dans /etc/sysctl.d du genre /etc/sysctl.d/80-local.conf
2- Pas besoin désactiver ipv6 sur chaque interface nommément si tu fais net.ipv6.conf.all.disable_ipv6=1

Dernière modification par anguille_sous_roche (13-01-2017 20:20:33)

Gabriel · 14-01-2017 16:16:56

Merci beaucoup

1- Plutot que de modifier directement etc/sysctl.conf pour y ajouter tes paramètres perso, je te conseil de crée un nouveau fichier dans /etc/sysctl.d du genre /etc/sysctl.d/80-local.conf

certainement mieux en cas de mise à jour.

Du coup comme dit Raleur, on ne sait pas quel est l'ordre de priorité entre les sysctl.conf

D'après sa page de manuel il regarde aussi à d'autres endroits :
/run/sysctl.d/*.conf
/usr/local/lib/sysctl.d/*.conf
/usr/lib/sysctl.d/*.conf
/lib/sysctl.d/*.conf

Mais elle ne dit rien sur l'ordre de chargement, si ça se trouve il n'est pas déterministe.
Mais je parierais plutôt sur ufw.

raleur · 14-01-2017 17:04:21

Gabriel a écrit :

Du coup comme dit Raleur, on ne sait pas quel est l'ordre de priorité entre les sysctl.conf

En effet, mais cette phrase ne concernait pas /etc/ufw/sysctl.conf.

anguille_sous_roche · 14-01-2017 23:14:34

Effectivement,
je ne connais pas l’ordre de priorité entre :

/run/sysctl.d/*.conf
/usr/local/lib/sysctl.d/*.conf
/usr/lib/sysctl.d/*.conf
/lib/sysctl.d/*.conf

Mais sous ma debian aucun de ces répertoires n'existent. Seul /etc/sysctl.conf, /etc/sysctl.d/*.conf et /etc/ufw/sysctl.conf existent.
Par contre, je sais que /etc/ufw/sysctl.conf est prioritaire sur /etc/sysctl.conf et /etc/sysctl.d/*.conf .

Dernière modification par anguille_sous_roche (15-01-2017 11:19:40)

Debian-facile

#1 14-08-2016 14:16:18

[Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#2 14-08-2016 14:34:01

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#3 14-08-2016 14:58:32

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#4 14-08-2016 15:07:15

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#5 14-08-2016 15:11:34

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#6 14-08-2016 15:14:22

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#7 14-08-2016 15:15:05

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#8 14-08-2016 15:41:21

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#9 14-08-2016 16:55:13

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#10 13-01-2017 18:23:38

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#11 13-01-2017 18:36:47

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#12 13-01-2017 18:50:00

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#13 13-01-2017 20:16:04

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#14 14-01-2017 16:16:56

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#15 14-01-2017 17:04:21

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

#16 14-01-2017 23:14:34

Re : [Résolu] Paramètre Sysctl.conf pas chargé au démarrage.

Pied de page des forums