幾項網路安全相關的no引數詳解

客戶反應他們的p650不斷ping省局的某臺機器，其實這是AIX的PMTU路由發現功能導致，這個可以關掉，不影響AIX網路功能
no -po tcp_pmtu_discover=0 -o udp_pmtu_discover=0
客戶還有3臺機器是AIX5.1，需要把這句話加入到/etc/rc.net中去

幾項網路安全相關的no引數詳解

內容提要: 本文主要介紹了通過no命令可以調整的幾個與網路安全相關的引數。這些引數不適當的設定將有可能引起非法入侵者的網路攻擊。本文同時給出了為了達到更高的系統安全級別應該如何設定這些引數，可以作為管理員的參考。請注意，在確定修改您系統no引數之前，請根據您網路的具體情況確認是否可以更改這些引數，以免造成網路訪問故障。

說明:

為使系統安全性達到較高階別，可以使用 0 禁用和 1 啟用來更改幾個網路選項。以下列表標識了這些可以與 no 命令一起使用的引數。

引數	命令	用途
bcastping	/usr/sbin/no -o bcastping=0	允許以廣播地址響應 ICMP 回送資訊包。禁用它來防止 Smurf 攻擊。
clean_partial_conns	/usr/sbin/no -o clean_partial_conns=1	指定是否要避免 SYN（同步序列號）攻擊。
directed_broadcast	/usr/sbin/no -o directed_broadcast=0	指定是否允許對閘道器進行定向廣播。設定為 0 有助於防止定向資訊包到達遠端網路。
icmpaddressmask	/usr/sbin/no -o icmpaddressmask=0	指定系統是否響應 ICMP 地址掩碼請求。禁用它可以防止通過源路由攻擊進行訪問。
ipforwarding	/usr/sbin/no -o ipforwarding=0	指定核心是否應轉發資訊包。禁用它可以防止重定向的資訊包到達遠端網路。
ipignoreredirects	/usr/sbin/no -o ipignoreredirects=1	指定是否處理收到的重定向。
ipsendredirects	/usr/sbin/no -o ipsendredirects=0	指定核心是應該否傳送重定向訊號。禁用它可以防止重定向的資訊包到達遠端網路。
ip6srcrouteforward	/usr/sbin/no -o ip6srcrouteforward=0	指定系統是否轉發源路由 IPv6 資訊包。禁用它可以防止通過源路由攻擊進行訪問。
ipsrcrouteforward	/usr/sbin/no -o ipsrcrouteforward=0	指定系統是否轉發源路由資訊包。禁用它可以防止通過源路由攻擊進行訪問。
ipsrcrouterecv	/usr/sbin/no -o ipsrcrouterecv=0	指定系統是否接受源路由資訊包。禁用它可以防止通過源路由攻擊進行訪問。
ipsrcroutesend	/usr/sbin/no -o ipsrcroutesend=0	指定應用程式是否能夠傳送源路由資訊包。禁用它可以防止通過源路由攻擊進行訪問。
nonlocsroute	/usr/sbin/no -o nonlocsrcroute=0	告訴“網際協議”嚴格源路由資訊包可以對本地網路以外的主機定址。禁用它可以防止通過源路由攻擊進行訪問。
tcp_pmtu_discover	/usr/sbin/no -o tcp_pmtu_discover=0	禁用它可以防止通過源路由攻擊進行訪問。
udp_pmtu_discover	/usr/sbin/no -o udp_pmtu_discover=0	啟用或禁用 TCP 應用程式的路徑 MTU 發現。禁用它可以防止通過源路由攻擊進行訪問。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/8242091/viewspace-598173/，如需轉載，請註明出處，否則將追究法律責任。