Linuxové jadro sprístupňuje stovky laditeľných parametrov prostredníctvom pseudo-súborového systému /proc/sys/. Každý parameter je reprezentovaný súborom, do ktorého možno priamo zapísať novú hodnotu — zmena sa prejaví okamžite, ale po reštarte sa stratí:
# Dočasná zmena (testovanie)
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Overenie aktuálnej hodnoty
sysctl net.ipv4.tcp_syncookies
Pre trvalé zmeny platné aj po reštarte sa konfigurácia zapisuje do súborov v adresári /etc/sysctl.d/. Odporúčame vytvoriť dedikovaný súbor pre bezpečnostné nastavenia s vysokým numerickým prefixom — aby sa načítal ako posledný a prepisoval prípadné konflikty z iných súborov (v praxi je to malý, ale dôležitý detail):
sudo nano /etc/sysctl.d/99-security-hardening.conf
Po editácii súboru sa zmeny aplikujú príkazom:
# Aplikovanie konkrétneho súboru
sudo sysctl -p /etc/sysctl.d/99-security-hardening.conf
# Načítanie všetkých konfiguračných súborov naraz
sudo sysctl --system
Spevnenie sieťového zásobníka
Sieťová vrstva je najčastejším vektorom útokov na vzdialene dostupné servery. Nasledujúce parametre výrazne znižujú riziko IP spoofingu, SYN flood útokov, MITM presmerovaní a ďalších sieťových hrozieb. Tieto nastavenia sú komplementárne k pravidlám na úrovni firewallu — ak ste ešte nenasadili stavový firewall, prečítajte si nášho sprievodcu nftables pre bezpečnosť linuxových serverov, kde nájdete komplexné sieťové filtrovanie.
Ochrana proti IP spoofingu (Reverse Path Filtering)
Reverse Path Filtering (RPF) zaručuje, že pakety prichádzajúce na sieťové rozhranie sú skutočne smerovateľné späť cez to isté rozhranie. Týmto mechanizmom jadro efektívne blokuje pakety s falošnými zdrojovými adresami skôr, než sa dostanú k aplikáciám:
# Ochrana proti IP spoofingu na všetkých rozhraniach
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
Ochrana proti SYN Flood útokom
SYN Flood útoky zahlcujú server TCP handshake požiadavkami bez dokončenia spojenia — v podstate ide o to, aby server "zabudol" odpovedať na tisíce nadväzovaní spojenia naraz. SYN cookies riešia tento problém kryptograficky: server nekóduje stav do pamäte pre každé neúplné spojenie, ale do samotného SYN-ACK odpovede:
# SYN Flood ochrana
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
Zakázanie ICMP presmerovaní
ICMP presmerowania môžu byť zneužité na MITM útoky, kde útočník presmeruje sieťovú premávku cez kompromitovaný uzol. Na serveroch, ktoré nie sú smerovačmi, je vhodné tieto funkcie úplne zakázať:
# Zakázanie prijímania ICMP presmerovaní (MITM prevencia)
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Zakázanie odosielania ICMP presmerovaní
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# IPv6 presmerowania
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
Zakázanie zdrojových smerovacích ciest
Source routing umožňuje odosielateľovi paketu diktovať smerovanie cez sieť — čo znie možno teoreticky, ale v praxi sa zneužíva na obídenie sieťových bezpečnostných pravidiel a firewallových politík. Jednoducho to vypnite:
# Zakázanie source routing (IPv4 aj IPv6)
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
Logovanie podozrivých paketov a ICMP bezpečnosť
Martian pakety — s neplatnými alebo nesmerovateľnými zdrojovými adresami — sú indikátorom aktívneho spoofingového útoku alebo nesprávnej konfigurácie siete. Ich logovanie je neoceniteľné pri forenznej analýze (a pri ladení záhadných sieťových problémov):
# Logovanie martian paketov do systémového logu
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# Ignorovanie ICMP broadcast požiadaviek (Smurf útok prevencia)
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Ignorovanie neplatných ICMP chybových odpovedí
net.ipv4.icmp_ignore_bogus_error_responses = 1
IPv6 Router Advertisements
Ak IPv6 nepoužívate aktívne, zakážte automatickú konfiguráciu routera cez RA. Útočník v lokálnej sieti by mohol odosielať podvrhnuté RA správy a presmerovať IPv6 premávku cez seba — a viete čo, v interných sieťach sa to stáva častejšie, než si väčšina správcov uvedomuje:
# Zakázanie IPv6 Router Advertisement akceptovania
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
Ochrana jadra pred eskaláciou privilégií
Táto kategória parametrov obmedzuje informácie, ktoré útočník môže získať po kompromitácii neprivilegovaného účtu, a znižuje plochu pre privilege escalation exploity využívajúce zraniteľnosti jadra. Stručne povedané: aj keď sa útočníkovi podarí dostať na váš server, chcete mu sťažiť ďalší postup.
Skrytie adresárov a symbolov jadra
Adresy jadra v /proc/kallsyms a výstupy príkazu dmesg môžu útočníkovi poskytnúť cenné informácie — napríklad o umiestnení funkcií jadra v pamäti — pre prípravu cielených exploitov:
# Skrytie ukazovateľov jadra — hodnota 2 ich skrýva aj pred rootom
kernel.kptr_restrict = 2
# Obmedzenie prístupu k dmesg logom len pre root
kernel.dmesg_restrict = 1
Rozdiel medzi hodnotami: kptr_restrict = 1 skrýva adresy jadra pred neprivilegovanými používateľmi, zatiaľ čo 2 ich skrýva úplne (aj pri čítaní root procesom). Pre maximálnu bezpečnosť v produkčnom prostredí odporúčame hodnotu 2.
Address Space Layout Randomization (ASLR)
ASLR randomizuje rozloženie pamäťového priestoru procesov pri každom spustení. Exploity, ktoré sa spoliehajú na pevné adresy pamäte (stack, heap, knižnice), sa stávajú rádovo zložitejšími na realizáciu — a toto je jedna z tých ochranných vrstiev, kde jednoduchá zmena jednej hodnoty má skutočne veľký bezpečnostný dopad:
# Povolenie plnej ASLR randomizácie
kernel.randomize_va_space = 2
Hodnota 2 aktivuje úplnú randomizáciu vrátane zásobníka (stack), haldy (heap), pamäťovo mapovaných segmentov a VDSO. Hodnota 1 randomizuje zásobník a knižnice, ale haldu ponecháva na predvídateľnej adrese. V roku 2026 nie je žiadny legitímny dôvod mať ASLR vypnuté (0) na produkčnom serveri.
Obmedzenie ptrace systémového volania
Systémové volanie ptrace umožňuje jednému procesu inšpekovať a modifikovať pamäť a registre iného bežiaceho procesu. Je to extrémne silný nástroj — využíva ho GDB, strace aj malvér. Yama LSM (Linux Security Module) poskytuje granulárne riadenie prístupu k ptrace:
# Yama LSM ptrace reštrikcie
# 0 = žiadne reštrikcie (predvolené na mnohých systémoch)
# 1 = ptrace len medzi rodičom a potomkom (odporúčané)
# 2 = iba root môže používať ptrace
# 3 = ptrace úplne zakázané (naruší GDB/strace aj pre root)
kernel.yama.ptrace_scope = 1
Pre produkčné servery bez nutnosti interaktívneho ladenia odporúčame hodnotu 2. Hodnota 3 môže narušiť niektoré monitorovacie agenty — ak si nie ste istí, začnite s hodnotou 1 a otestujte.
BPF a JIT bezpečnosť
Berkeley Packet Filter (BPF) — najmä jeho rozšírená verzia eBPF — je výkonný systém na inšpekciu sieťovej premávky a monitorovanie systému priamo v jadre. V roku 2026 je eBPF tiež známy vektor útokov proti samotnému jadru, keď je prístupný neprivilegovaným používateľom. Je to trochu paradox: ten istý nástroj, ktorý robí Linux monitoring tak výkonným, je aj potenciálnou bezpečnostnou dierou:
# Zakázanie neprivilegovaného prístupu k BPF
kernel.unprivileged_bpf_disabled = 1
# Spevnenie BPF JIT kompilátora (constant blinding)
# Hodnota 2 = maximálne spevnenie vrátane privilegovaných programov
net.core.bpf_jit_harden = 2
Parameter bpf_jit_harden = 2 aktivuje techniku constant blinding — všetky konštanty v BPF programe sú pred kompiláciou maskované, čo zabraňuje heap spraying útokom proti JIT kompilátoru. Ak prevádzkujete eBPF-based monitorovacie nástroje ako Tetragon, Cilium alebo Falco, musia bežať s príslušnými capabilities alebo ako root — samotná reštrikcia ich neblokuje, pokiaľ majú CAP_BPF.
Ochrana súborového systému
Tieto parametre chránia pred bežnými útokmi zneužívajúcimi symbolické a pevné odkazy v zdieľaných adresároch, ako je /tmp alebo /var/tmp. Typický útok (TOCTOU — Time of Check to Time of Use) vyzerá takto: útočník vytvorí symbolický odkaz smerujúci na /etc/shadow pred tým, než privilegovaný proces zapíše do zdanlivo nevinného súboru. Je to klasika, ale stále funguje na nezabezpečených systémoch:
# Ochrana symbolických odkazov v sticky adresároch
fs.protected_symlinks = 1
# Ochrana pevných odkazov (hardlinks) na súbory bez prístupu
fs.protected_hardlinks = 1
# Ochrana pomenovaných rúr (FIFO) v zdieľaných adresároch
fs.protected_fifos = 2
# Ochrana regulárnych súborov v zdieľaných adresároch
fs.protected_regular = 2
Nastavenia protected_fifos = 2 a protected_regular = 2 (hodnota 2 oproti 1) zakazujú aj root procesom otvárať takéto súbory vo world-writable sticky adresároch, pokiaľ nie sú vlastníkmi — čím sa eliminuje aj eskalácia privilégií cez root-owned procesy.
Výkonnostné počítadlá a paranoia úroveň
Linuxový subsystém perf (Performance Monitoring Unit) môže byť zneužitý na side-channel útoky. Parameter perf_event_paranoid riadi, kto má prístup k hardvérovým výkonnostným počítadlám — a mimochodom, názov "paranoia" tu sedí celkom výstižne:
# Úrovne paranoia:
# -1 = žiadne reštrikcie
# 0 = CPU dáta dostupné neprivilegovaným
# 1 = kernel čítanie len pre root (predvolené na mnohých distro)
# 2 = zakázanie kernel profilovania pre neprivilegovaných
# 3 = zakázanie všetkého user-space perf (najrestriktívnejšie)
kernel.perf_event_paranoid = 3
Kompletná produkčná konfigurácia
Nasleduje kompletný konfiguračný súbor pre produkčné servery. Uložte ho ako /etc/sysctl.d/99-security-hardening.conf:
#
# /etc/sysctl.d/99-security-hardening.conf
# Linux Kernel Security Hardening — 2026
# Testované na: Ubuntu 24.04, Debian 13, RHEL 9, Rocky 9
#
### SIEŤOVÝ ZÁSOBNÍK ###
# Zakázanie IP forwardingu (ak server nie je smerovač)
net.ipv4.ip_forward = 0
# Reverse Path Filtering — ochrana proti IP spoofingu
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# SYN Flood ochrana
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Zakázanie ICMP presmerovaní (MITM prevencia)
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Zakázanie source routingu
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Logovanie a ICMP bezpečnosť
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# IPv6 Router Advertisement
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
### OCHRANA JADRA ###
# Skrytie adresárov jadra
kernel.kptr_restrict = 2
kernel.dmesg_restrict = 1
# Plná ASLR randomizácia
kernel.randomize_va_space = 2
# ptrace reštrikcie (Yama LSM)
kernel.yama.ptrace_scope = 1
# Výkonnostné počítadlá
kernel.perf_event_paranoid = 3
### BPF BEZPEČNOSŤ ###
kernel.unprivileged_bpf_disabled = 1
net.core.bpf_jit_harden = 2
### SÚBOROVÝ SYSTÉM ###
fs.protected_symlinks = 1
fs.protected_hardlinks = 1
fs.protected_fifos = 2
fs.protected_regular = 2
Overenie a aplikovanie zmien
Testovanie krok po kroku
Pred aplikovaním na produkčné servery vždy najprv otestujte v izolovanom prostredí. Ak niektorý parameter naruší funkčnosť aplikácie, jednoducho ho vrátite predtým, než uložíte konfiguráciu natrvalo:
# Testovanie jedného parametra
sudo sysctl -w net.ipv4.tcp_syncookies=1
# Aplikovanie celého súboru (bez uloženia natrvalo)
sudo sysctl -p /etc/sysctl.d/99-security-hardening.conf
# Načítanie všetkých /etc/sysctl.d/ súborov
sudo sysctl --system
# Overenie konkrétnej hodnoty
sysctl kernel.randomize_va_space
sysctl net.ipv4.conf.all.rp_filter
Hromadné overenie bezpečnostných parametrov
# Overenie kľúčových bezpečnostných parametrov naraz
sysctl -a 2>/dev/null | grep -E "(kernel\.kptr_restrict|kernel\.dmesg_restrict|kernel\.randomize_va_space|kernel\.yama\.ptrace|kernel\.unprivileged_bpf|net\.core\.bpf_jit|net\.ipv4\.tcp_syncookies|net\.ipv4\.conf\.all\.rp_filter|fs\.protected_symlinks|fs\.protected_hardlinks)"
Auditovanie pomocou Lynis
Lynis je open-source bezpečnostný auditovací nástroj, ktorý automaticky kontroluje sysctl nastavenia a porovnáva ich so zabudovanými odporúčaniami z CIS a ďalších štandardov. Keď som ho prvýkrát spustil na "zabezpečenom" serveri klienta, výsledné odporúčania zabrali dve strany — takže aj keď si myslíte, že máte všetko pokryté, Lynis vás prekvapí:
# Inštalácia
sudo apt install lynis # Debian/Ubuntu
sudo dnf install lynis # RHEL/Fedora/Rocky
# Spustenie kompletného systémového auditu
sudo lynis audit system
# Filtrovanie sysctl odporúčaní vo výstupe
sudo lynis audit system 2>&1 | grep -A3 -i "sysctl"
Lynis generuje skóre spevnenia (Hardening Index) od 0 do 100. Správne nakonfigurovaný server s aplikovanými parametrami z tohto článku by mal dosiahnuť skóre 75–85.
Automatizácia pomocou Ansible
Pre správu desiatok alebo stoviek serverov je manuálna konfigurácia nepraktická. Modul ansible.posix.sysctl zaručuje idempotentné nasadenie — parametre sa aplikujú len ak sa líšia od požadovanej hodnoty:
---
# roles/kernel_hardening/tasks/main.yml
- name: Nasadenie sysctl bezpečnostných parametrov
ansible.posix.sysctl:
name: "{{ item.key }}"
value: "{{ item.value }}"
state: present
sysctl_file: /etc/sysctl.d/99-security-hardening.conf
reload: yes
loop:
- { key: 'kernel.kptr_restrict', value: '2' }
- { key: 'kernel.dmesg_restrict', value: '1' }
- { key: 'kernel.randomize_va_space', value: '2' }
- { key: 'kernel.yama.ptrace_scope', value: '1' }
- { key: 'kernel.unprivileged_bpf_disabled', value: '1' }
- { key: 'kernel.perf_event_paranoid', value: '3' }
- { key: 'net.core.bpf_jit_harden', value: '2' }
- { key: 'net.ipv4.conf.all.rp_filter', value: '1' }
- { key: 'net.ipv4.conf.default.rp_filter', value: '1' }
- { key: 'net.ipv4.tcp_syncookies', value: '1' }
- { key: 'net.ipv4.tcp_max_syn_backlog', value: '2048' }
- { key: 'net.ipv4.conf.all.accept_redirects', value: '0' }
- { key: 'net.ipv4.conf.all.send_redirects', value: '0' }
- { key: 'net.ipv4.conf.all.accept_source_route',value: '0' }
- { key: 'net.ipv4.conf.all.log_martians', value: '1' }
- { key: 'net.ipv4.icmp_echo_ignore_broadcasts', value: '1' }
- { key: 'net.ipv6.conf.all.accept_redirects', value: '0' }
- { key: 'net.ipv6.conf.all.accept_ra', value: '0' }
- { key: 'fs.protected_symlinks', value: '1' }
- { key: 'fs.protected_hardlinks', value: '1' }
- { key: 'fs.protected_fifos', value: '2' }
- { key: 'fs.protected_regular', value: '2' }
become: yes
Kombinácia s ďalšími bezpečnostnými vrstvami
Spevnenie jadra pomocou sysctl je jednou vrstvou obrany — nie náhradou za ďalšie bezpečnostné mechanizmy. Pre komplexnú ochranu kombinujte tieto nastavenia s:
- Mandatory Access Control — AppArmor profily pre izoláciu procesov pridávajú vrstvu bezpečnostnej politiky, ktorú nedokáže obísť ani root. Kombinovaním sysctl hardening a MAC dosiahnete skutočnú obranu do hĺbky.
- Pravidelné aktualizácie jadra — Kernel live patching (Canonical Livepatch, kpatch, KernelCare) umožňuje aplikovať bezpečnostné záplaty bez výpadkov. V roku 2026 je to štandardná operačná požiadavka pre produkčné servery.
- Monitorovanie a auditovanie — Kombinujte sysctl hardening s auditd, Wazuh alebo eBPF-based nástrojmi pre detekciu pokusov o exploitovanie na úrovni jadra.
- CIS Benchmarks overenie — Pravidelne spúšťajte OpenSCAP alebo Lynis audity, aby ste sa uistili, že nastavenia ostávajú v súlade so štandardmi.
Upozornenia a výnimky pre špeciálne prostredia
Nie všetky parametre sú vhodné pre každé prostredie. Pred aplikovaním v produkcii zvážte:
- Kontajnery a Kubernetes — Nastavenie
kernel.unprivileged_bpf_disabled = 1 môže narušiť nástroje ako Cilium alebo Falco. Nastavenie net.ipv4.ip_forward = 0 zablokuje sieťovú premávku medzi kontajnermi — ponechajte ho na 1 ak prevádzkujete Docker alebo Kubernetes.
- Smerovače a brány — Ak server funguje ako sieťový smerovač,
net.ipv4.ip_forward musí zostať na hodnote 1 pre IPv4 a prípadne aj net.ipv6.conf.all.forwarding = 1 pre IPv6.
- Ladiace a profilovacie nástroje —
kernel.yama.ptrace_scope = 3 úplne zakáže ptrace a znemožní GDB a strace aj pre root. Hodnota 2 je bezpečným kompromisom pre väčšinu produkčných prostredí.
- IPv6 prostredia — Ak vaša sieť aktívne využíva IPv6, aplikujte ekvivalentné ochranné parametre namiesto globálneho zakázania IPv6.
Často kladené otázky
Sú zmeny sysctl parametrov trvalé aj po reštarte servera?
Nie, ak ich aplikujete priamo do /proc/sys/ alebo príkazom sysctl -w — tieto zmeny sú len dočasné. Pre trvalé nastavenia musíte parametre zapísať do konfiguračného súboru v /etc/sysctl.d/ (napríklad /etc/sysctl.d/99-security-hardening.conf). Tieto súbory sa načítajú automaticky pri každom štarte systému.
Ovplyvňujú sysctl bezpečnostné nastavenia výkon produkčného servera?
Väčšina parametrov má minimálny až nulový vplyv na výkon. Výnimkou môže byť logovanie martian paketov (log_martians = 1) na sieťach s vysokým objemom neplatnej premávky, kde generuje veľké množstvo log záznamov. Parametre ako ASLR (randomize_va_space), ptrace reštrikcie a súborové ochrany nemajú merateľný vplyv na bežné serverové zaťaženie.
Aký je rozdiel medzi sysctl spevnením a firewall pravidlami?
Firewall pravidlá (iptables, nftables) filtrujú sieťovú premávku na základe zdrojových a cieľových adries, portov a protokolov. Sysctl parametre naopak menia správanie samotného sieťového zásobníka a jadra — napríklad ako jadro reaguje na podozrivé pakety, SYN flood alebo ICMP presmerowania. Oba prístupy sú komplementárne a mali by sa kombinovať pre dosiahnutie skutočnej obrany do hĺbky.
Ako overím, že moje sysctl nastavenia sú správne aplikované?
Použite príkaz sysctl -a | grep <parameter> pre overenie aktuálnej hodnoty konkrétneho parametra. Pre komplexný audit odporúčame nástroj Lynis (sudo lynis audit system), ktorý porovná vaše nastavenia so zabudovanými bezpečnostnými odporúčaniami a vypíše zoznam konkrétnych odporúčaní na zlepšenie vrátane chýbajúcich sysctl nastavení.
Môžu sysctl nastavenia narušiť fungovanie kontajnerov Docker alebo Podman?
Niektoré nastavenia áno. Konkrétne net.ipv4.ip_forward = 0 zablokuje sieťovú premávku medzi kontajnermi a kernel.unprivileged_bpf_disabled = 1 môže narušiť kontajnerové riešenia využívajúce eBPF ako Cilium. Ak prevádzkujete kontajnery, ponechajte ip_forward = 1 a starostlivo otestujte BPF reštrikcie v staging prostredí pred nasadením do produkcie.
