AIX几项网络安全相关的no参数详解.docVIP

几项网络安全相关的no参数详解 上 一篇 / 下 一篇 ?2009-05-14 19:08:54 / 个人分类：AIX 管理 查 看 66 / 评 论 0 / 评 分 0 / 0 客户反应他们的p650不断ping省局的某台机器，其实这是AIX的PMTU路由发现功能导 致，这个可以关掉，不影响AIX网络功能no -po tcp_pmtu_discover 0 -o udp_pmtu_discover 0客 户还有3台机器是AIX5.1，需要把这句话加入到/etc/rc.net中去 几项网络安全相关的no参数详解内容提要: 本文主要介绍了通过no命令可以调整的几个与网络安全相关的参数。这些参数不适当的设置将有可能引起非法入侵者的网络攻击。本文同时给出了为了达到更高的 系统安全级别应该如何设置这些参数，可以作为管 理员的参考。请注意，在确定修改您系统no参数之前，请根据您网络的具体情况确认是否可以更改这些参数，以免造成网络 访问故障。说明:为使系统安全性达到较高级别，可以使用 0 禁用和 1 启用来更改几个网络选项。以下列表标识了这些可以与no命令一起使用的参数。 参数 命令 用途 bcastping /usr/sbin/no -o bcastping 0 允许以广播地址响应 ICMP 回送信息包。禁用它来防止 Smurf 攻击。 clean_partial_conns /usr/sbin/no -o clean_partial_conns 1 指定是否要避免 SYN（同步序列号）攻击。 directed_broadcast /usr/sbin/no -o directed_broadcast 0 指 定是否允许对网关进行定向广播。设置为 0 有助于防止定向信息包到达远程网络。 icmpaddressmask /usr/sbin/no -o icmpaddressmask 0 指定系统是否响应 ICMP 地址掩码请求。禁用它可以防止通过源路由攻击进行访问。 ipforwarding /usr/sbin/no -o ipforwarding 0 指定内核是否应转发信息包。禁用它可以防止重定向的信息包到达远程网络。 ipignoreredirects /usr/sbin/no -o ipignoreredirects 1 指 定是否处理收到的重定向。 ipsendredirects /usr/sbin/no -o ipsendredirects 0 指定内核是应该否发送重定向信号。禁用它可以防止重定向的信息包到达远程网 络。 ip6srcrouteforward /usr/sbin/no -o ip6srcrouteforward 0 指定系统是否转发源路由 IPv6 信息包。禁用它可以防止通过源路由攻击进行访问。 ipsrcrouteforward /usr/sbin/no -o ipsrcrouteforward 0 指 定系统是否转发源路由信息包。禁用它可以防止通过源路由攻击进行访问。 ipsrcrouterecv /usr/sbin/no -o ipsrcrouterecv 0 指定系统是否接受源路由信息包。禁用它可以防止通过源路由攻击进行访问。 ipsrcroutesend /usr/sbin/no -o ipsrcroutesend 0 指定应用程序是否能够发送源路由信息包。禁用它可以防止通过源路由攻击进 行访问。 nonlocsroute /usr/sbin/no -o nonlocsrcroute 0 告诉“网际协议”严格源路由信息包可以对本地网络以外的主机寻址。禁用它可以防止通过源路由攻击进行访问。 tcp_pmtu_discover /usr/sbin/no -o tcp_pmtu_discover 0 禁 用它可以防止通过源路由攻击进行访问。 udp_pmtu_discover /usr/sbin/no -o udp_pmtu_discover 0 启用或禁用 TCP 应用程序的路径 MTU 发现。禁用它可以防止通过源路由攻击进行访问。