En matière de sécurité, la meilleure pratique consiste à vérifier que le système refuse les paramètres de limite de sauts d'annonce du routeur IPv6 provenant d'une annonce du routeur, à moins que cela ne soit nécessaire. Le paramètre accept_ra_defrtr permet de contrôler si le système accepte les paramètres de limite de sauts provenant d'une annonce du routeur. Définissez-le sur 0 pour empêcher qu'un routeur ne modifie votre limite de sauts IPv6 par défaut pour les paquets sortants.
Procédure
- Exécutez la commande # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra_defrtr|egrep "default|all" pour vérifier que le système hôte refuse les paramètres de limite de sauts d'annonce du routeur IPv6.
- Si les valeurs ne sont pas définies sur
0, configurez le système hôte pour refuser les paramètres de limite de sauts d'annonce du routeur IPv6.- Ouvrez le fichier /etc/sysctl.conf.
- Si les valeurs ne sont pas définies sur
0, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur0.net.ipv6.conf.all.accept_ra_defrtr=0 net.ipv6.conf.default.accept_ra_defrtr=0
- Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -ppour appliquer la configuration.
