保护和优化 Linux：RedHat 版本 - 实战指南
上一页	第 5 章. 通用系统安全	下一页

5.24. 内核可调参数

随着 Red Hat Linux 6.2 新版本的发布，Linux 的 /proc/sys 子目录下所有可用的内核参数都可以在运行时进行配置。现在您可以使用新的/etc/sysctl.conf文件在 Red Hat Linux 6.2 下用于在运行时修改和设置内核参数。sysctl.conf 文件在系统每次重启时都会被读取和加载。所有设置现在都存储在/etc/sysctl.conf文件中。所有对 /proc/sys 的修改都应该通过 /etc/sysctl.conf 进行，因为它们提供更好的控制，并且在 rc.local 或任何其他用户脚本之前执行。我们在下面向您展示了您必须在服务器上为 Red Hat Linux 6.1 和 6.2 版本配置的网络安全选项。

5.24.1. 阻止您的系统响应 Ping

Version 6.1 only

阻止您的系统响应 ping 请求可以大大提高您的网络安全性，因为没有人可以 ping 您的服务器并收到响应。TCP/IP 协议套件有许多漏洞，攻击者可以利用隐蔽通道形式的技术在看似无害的数据包中秘密传递数据。阻止您的服务器响应 ping 请求可以帮助最大限度地减少这个问题。一个...

            [root@deep] /#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

... 应该可以完成这项工作，这样您的系统将不会响应任何接口上的 ping。您可以将此行添加到您的 /etc/rc.d/rc.local 文件中，以便在您的系统重启时自动设置该命令。不响应 ping 至少可以阻止大多数“破解者”，因为他们甚至永远不会知道它在那里。要重新启用它，只需执行以下操作

            [root@deep] /#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

您可以将此行添加到您的/etc/rc.d/rc.local文件中，以便在您的系统重启时自动设置该命令。

Version 6.2 only

编辑 /etc/sysctl.conf 文件并添加以下行

            # Enable ignoring ping request
            net.ipv4.icmp_echo_ignore_all = 1

您必须重启网络才能使更改生效。重启网络的命令如下：要在您的系统上手动重启所有网络设备，请使用以下命令

            [root@deep] /# /etc/rc.d/init.d/network restart

设置网络参数 [ OK ] 启动接口 lo [ OK ] 启动接口 eth0 [ OK ] 启动接口 eth1 [ OK ]

上一页	首页	下一页
来自 root 用户拥有的程序的位	向上	拒绝响应广播请求