システム セキュリティ強化アクティビティの一環として、vRealize アプライアンスで Datagram Congestion Control Protocol (DCCP) モジュールがデフォルトでロードされないようにします。潜在的な攻撃者がシステムのセキュリティを侵害するためにこのプロトコルを活用する可能性があります。

このタスクについて

絶対に必要でなければ、DCCP モジュールはロードしないようにしてください。DCCP は提案中のトランスポート レイヤー プロトコルであり、使用されません。このプロトコルをネットワーク スタックにバインドすると、ホストの攻撃対象領域が増加します。権限のないローカル プロセスがこのプロトコルを使用してソケットを開くことにより、カーネルでプロトコル ハンドラが動的にロードされる場合があります。

手順

  1. テキスト エディタで /etc/modprobe.conf.local ファイルを開きます。
  2. このファイルに DCCP 行が含まれることを確認します。
    install dccp /bin/true
    install dccp_ipv4 /bin/true
    install dccp_ipv6 /bin/true
  3. ファイルを保存して閉じます。