September 2016
M T W T F S S
« Jun    
 1234
567891011
12131415161718
19202122232425
2627282930  
«  
  »

Deshabilitar IPv6 en Debian

Per defecte tenim habilitat IPv6 que de moment només porta mal de caps. Si us fixeu, executant lsof -i 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
portmap   2556      daemon    4u  IPv4   7202       UDP *:sunrpc
portmap   2556      daemon    5u  IPv4   7211       TCP *:sunrpc (LISTEN)
rpc.statd 2567       statd    5r  IPv4   7234       UDP *:623
rpc.statd 2567       statd    7u  IPv4   7245       UDP *:46186
rpc.statd 2567       statd    8u  IPv4   7248       TCP *:37265 (LISTEN)
avahi-dae 2961       avahi   14u  IPv4   7915       UDP *:mdns
avahi-dae 2961       avahi   15u  IPv6   7916       UDP *:mdns
avahi-dae 2961       avahi   16u  IPv4   7917       UDP *:54129
avahi-dae 2961       avahi   17u  IPv6   7918       UDP *:45024
cupsd     3030        root    2u  IPv4   8034       TCP localhost:ipp (LISTEN)
cupsd     3030        root    3u  IPv6   8035       TCP localhost:ipp (LISTEN)
cupsd     3030        root    5u  IPv4   8038       UDP *:ipp
sshd      3314        root    3u  IPv6  8316       TCP *:22 (LISTEN)
sshd      3314        root    4u  IPv4   8318       TCP *:22 (LISTEN)
exim4     3324 Debian-exim    3u  IPv4   8345       TCP localhost:smtp (LISTEN)
hddtemp   3426        root    0u  IPv4   8423       TCP localhost:7634 (LISTEN)
gkrellmd  3490    gkrellmd    3u  IPv6   8645       TCP *:19150 (LISTEN)
gkrellmd  3490    gkrellmd    4u  IPv4   8646       TCP *:19150 (LISTEN)

veurem que tenim serveis que escolten tant a IPv4 com a IPv6, ssh, cups, ntp, etc.

Inconvenients:
– lentitud en la resolució de noms quan l’adreça és ipv6 (veure post al bloc de David Hurst)
– possibles DoS en l’Apache (veure notícia a TheRegister)

Com fer-ho:
Afegir a /etc/modprobe.d/blacklist la linia,

blacklist ipv6

Cal rebotar la màquina perque el mòdul ipv6 no es deixa eliminar*.

*Potser no cal si deixem el sistema sense cap servei que utilitzi IPv6. Jo no ho he aconseguit.

# ip -6 a flush dev eth0
# ip a
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:10:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth0
3: sit0: <NOARP> mtu 1480 qdisc noqueue 
    link/sit 0.0.0.0 brd 0.0.0.0
# ip a | grep inet6
    inet6 ::1/128 scope host 
# ip -6 a flush dev lo
# ip a | grep inet6
# rmmod ipv6
ERROR: Module ipv6 is in use

Comproveu amb ifconfig que no apareix cap adreça versió 6.
Abans,

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:00:19:08:d1:c0
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::222:19ff:fe07:ddc0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:339797 errors:0 dropped:0 overruns:0 frame:0
          TX packets:226268 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:463716474 (442.2 MiB)  TX bytes:40306388 (38.4 MiB)
          Memory:febe0000-fec00000

Després,

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:00:19:08:d1:c0
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:339797 errors:0 dropped:0 overruns:0 frame:0
          TX packets:226268 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:463716474 (442.2 MiB)  TX bytes:40306388 (38.4 MiB)
          Memory:febe0000-fec00000

Si encara no fem servir IPv6 potser resulta una mica inútil tenir activat aquesta funcionalitat, no?

Fernando | Monday, 18th of May 2009 | Tags: , | Category: Debian, GNU/Linux | Comments are closed