En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte refuse les informations de préfixe du routeur IPv6, à moins que cela ne soit nécessaire. Le paramètre accept ra pinfo
contrôle si le système accepte les informations de préfixe issues du routeur. Si les adresses sont attribuées statiquement, le système ne reçoit aucune information de préfixe de routeur.
Procédure
- Exécutez la commande # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra_pinfo|egrep "default|all" pour vérifier que le système refuse les informations de préfixe de routeur.
- Configurez le système hôte pour refuser le préfixe du routeur IPv6.
- Ouvrez le fichier /etc/sysctl.conf.
- Si les valeurs ne sont pas définies sur
0
, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur0
.net.ipv6.conf.all.accept_ra_pinfo=0 net.ipv6.conf.default.accept_ra_pinfo=0
- Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -p
pour appliquer la configuration.