デフォルトの RHEL 9 インストールで net.ipv4.conf.default.rp_filter に 2 つの異なる値がある
Issue
-
RHEL9 のデフォルトインストールで、
net.ipv4.conf.default.rp_filterが 2 回定義されており (/usr/lib/sysctl.d/50-redhat.confと50-default.conf)、50-default.confでは 2 に、50-redhat.confでは 1 に設定されます。# grep net.ipv4.conf.default.rp_filter /usr/lib/sysctl.d/* /usr/lib/sysctl.d/50-default.conf:net.ipv4.conf.default.rp_filter = 2 /usr/lib/sysctl.d/50-redhat.conf:net.ipv4.conf.default.rp_filter = 1 -
値を 1 に設定しても、CIS プロファイルの oscap スキャンが失敗します。
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis --rule xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_default_rp_filter --results `uname -n`_scan_results.xml --report `uname -n`_scan_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml Title Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default Rule xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_default_rp_filter Ident CCE-84009-0 Result failおよび
sysctl -a |grep net.ipv4.conf.default.rp_filter net.ipv4.conf.default.rp_filter = 1
Environment
- RHEL 9
- openscap
- sysctl
- CIS
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
