{"id":1785,"date":"2020-03-30T11:00:54","date_gmt":"2020-03-30T09:00:54","guid":{"rendered":"https:\/\/my.stargazer.at\/?p=1785"},"modified":"2020-03-30T11:00:54","modified_gmt":"2020-03-30T09:00:54","slug":"building-a-system-for-strong-privacy-part-ii","status":"publish","type":"post","link":"https:\/\/my.stargazer.at\/de\/2020\/03\/30\/building-a-system-for-strong-privacy-part-ii\/","title":{"rendered":"Ein System f\u00fcr mehr Privatsph\u00e4re – Teil II"},"content":{"rendered":"

Nachdem ich im ersten Teil<\/a> meine Idee grob umschrieben habe, geht es nun an mein Lieblingsthema: Das System etwas anpassen<\/p>\n

Meine sysctl Config Schritt f\u00fcr Schritt<\/p>\n

IPv6 ist meines Erachtens f\u00fcr unsere Verbindung ins Tor-Netzwerk nicht so wichtig, da wir alles noch locker mit IPv4 hinbekommen. Daher deaktiviere ich es durch folgende Einstellung von unserem externen Interface. Die letzte Zeile dabei l\u00e4sst es f\u00fcr Sonderf\u00e4lle auf dem Loopback Interface aber aktiv.<\/p>\n


\nnet.ipv6.conf.default.disable_ipv6 = 1
\nnet.ipv6.conf.all.disable_ipv6 = 1
\nnet.ipv6.conf.lo.disable_ipv6 = 0<\/code><\/p><\/blockquote>\n

Da wir uns um etwas mehr Schutz bem\u00fchen, ist es auch nicht schlecht das Filesystem etwas zu h\u00e4rten<\/p>\n


\nfs.protected_fifos = 2
\nfs.protected_regular = 2<\/code><\/p><\/blockquote>\n

… und Angriffe via kexec gleich mal komplett aus dem Weg zu r\u00e4umen.<\/p>\n


\nkernel.kexec_load_disabled = 1<\/code><\/p><\/blockquote>\n

Da wir schon am Kernel sind, verstecken wir gleich dessen Pointer und sichern das Memory-Mapping mit mehr Zufall ab<\/p>\n


\nkernel.kptr_restrict=2
\nvm.mmap_rnd_bits=32
\nvm.mmap_rnd_compat_bits=16<\/code><\/p><\/blockquote>\n

Wenn ich mich recht erinnere, geht es doch um Privatsph\u00e4re – somit k\u00f6nnen wir das Timestamping von TCP Paketen auch gleich einschr\u00e4nken<\/p>\n


\nnet.ipv4.tcp_timestamps=0<\/code><\/p><\/blockquote>\n

<\/p>","protected":false},"excerpt":{"rendered":"

Nachdem ich im ersten Teil meine Idee grob umschrieben habe, geht es nun an mein Lieblingsthema: Das System etwas anpassen Meine sysctl Config Schritt f\u00fcr Schritt IPv6 ist meines Erachtens f\u00fcr unsere Verbindung ins Tor-Netzwerk nicht so wichtig, da wir alles noch locker mit IPv4 hinbekommen. Daher deaktiviere ich es durch folgende Einstellung von unserem externen Interface. Die […]<\/p>\n","protected":false},"author":7,"featured_media":1532,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,3],"tags":[577,653,22,652],"class_list":["post-1785","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-related-stuff","category-security","tag-debian","tag-i386","tag-linux","tag-tor"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1785","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=1785"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1785\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media\/1532"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=1785"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=1785"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=1785"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}