配置错误的 PPP 守护进程可能会造成灾难性的安全漏洞。其危害程度不亚于允许任何人将他们的机器插入您的以太网(这是非常糟糕的)。在本节中,我们将讨论一些应该使您的 PPP 配置安全的措施。
pppd 的一个问题是,要配置网络设备和路由表,它需要 root 权限。通常情况下,您会通过以 setuid root 方式运行它来解决这个问题。然而,pppd 允许用户设置各种与安全相关的选项。为了防止用户通过操纵这些选项发起任何攻击,建议您在全局 /etc/ppp/options 文件中设置一些默认值,就像 section-
中的示例文件所显示的那样。其中一些选项,例如身份验证选项,用户无法覆盖,因此可以合理地防止恶意操作。
当然,您也必须保护自己免受与您进行 PPP 通信的系统的侵害。为了防御冒充他人的主机,您应该始终对您的对等方进行某种形式的身份验证。此外,您不应允许外部主机使用他们选择的任何 IP 地址,而应至少将其限制为少数几个。以下章节将讨论这些主题。