Nachdem ich im ersten Teil meine Idee grob umschrieben habe, geht es nun an mein Lieblingsthema: Das System etwas anpassen
Meine sysctl Config Schritt für Schritt
IPv6 ist meines Erachtens für unsere Verbindung ins Tor-Netzwerk nicht so wichtig, da wir alles noch locker mit IPv4 hinbekommen. Daher deaktiviere ich es durch folgende Einstellung von unserem externen Interface. Die letzte Zeile dabei lässt es für Sonderfälle auf dem Loopback Interface aber aktiv.
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 0
Da wir uns um etwas mehr Schutz bemühen, ist es auch nicht schlecht das Filesystem etwas zu härten
fs.protected_fifos = 2
fs.protected_regular = 2
… und Angriffe via kexec gleich mal komplett aus dem Weg zu räumen.
kernel.kexec_load_disabled = 1
Da wir schon am Kernel sind, verstecken wir gleich dessen Pointer und sichern das Memory-Mapping mit mehr Zufall ab
kernel.kptr_restrict=2
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
Wenn ich mich recht erinnere, geht es doch um Privatsphäre – somit können wir das Timestamping von TCP Paketen auch gleich einschränken
net.ipv4.tcp_timestamps=0