如何在 AIX 上禁用 ICMP 时间戳 - 不使用防火墙

tag-icon tag-icon aix icmp
如何在 AIX 上禁用 ICMP 时间戳 - 不使用防火墙

在 AIX 6/7 上如何禁用此功能?我在“man no”中看不到任何内容。

仅仅因为这个而安装防火墙并不是一个真正的选择。

答案1

可以使用 ip 过滤器阻止 ICMP 时间戳请求和回复。

安装文件集后,您将需要为 ipf 创建配置文件

# vi /etc/ipf.conf

添加以下内容:

# Block ICMP timestamp requests and replies
block in log proto icmp from any to any icmp-type 13 
block in log proto icmp from any to any icmp-type 14

加载IP过滤器内核扩展

# /usr/lib/methods/cfg_ipf -l

加载IP过滤规则

# ipf -f /etc/ipf.conf

确认规则已加载

# ipfstat -i

阻止记录原始 icmp 从任何到任何 icmp 类型时间

阻止日志原始 icmp 从任何到任何 icmp 类型的 timestrep

如果需要,启动 IP 过滤器日志守护进程

# /usr/sbin/ipmon -s -D

要在启动时加载 IP 过滤器内核扩展和规则,您可以创建一个从 inittab 调用的脚本

# vi /etc/rc.ipf

包含以下内容:

#!/bin/ksh
#
# Script to load ip filter kernel extension,
# filter rules, and logging
#

# Load IPFilter into kernel
/usr/lib/methods/cfg_ipf -l

# Load ipmon and log to syslog
/usr/sbin/ipmon -s -D

# Load IP filter rules
/usr/sbin/ipf -Fa -f /etc/ipf.conf

使脚本可执行

# chmod 755 /etc/rc.ipf

然后在inittab中添加一个条目以在运行级别2执行脚本

# mkitab "rcipf:2:once:/etc/rc.ipf > /dev/console 2>&1 # Load IP Filter"

ipmon 将使用 local0 工具将消息发送到 syslog。如果您希望记录这些消息,您可以配置 syslog 来执行此操作。

# vi /etc/syslog.conf

添加以下行作为内容:

local0.debug     /var/adm/local0.log

然后运行命令:

# touch /var/adm/local0.log
# refresh -s syslogd

来源:http://www-01.ibm.com/support/docview.wss?uid=isg3T1012909

此外,无论您使用什么,您都应该至少设置基本的防火墙。

答案2

应该能够使用网络可调功能禁用此功能。

no -p -o icmptimestamp=0

您可以使用以下命令检查该值的设置:

no -L icmptimestamp

应该看起来像这样

root> no -L icmptimestamp
--------------------------------------------------------------------------------
NAME                      CUR    DEF    BOOT   MIN    MAX    UNIT           TYPE
     DEPENDENCIES
--------------------------------------------------------------------------------
icmptimestamp             0      1      0      0      1      boolean           D
--------------------------------------------------------------------------------

由于该可调参数是 D 类型,因此它是动态的并且立即生效。无需重新启动。

Parameter types:
    S = Static: cannot be changed
    D = Dynamic: can be freely changed
    B = Bosboot: can only be changed using bosboot and reboot
    R = Reboot: can only be changed during reboot
    C = Connect: changes are only effective for future socket connections
    M = Mount: changes are only effective for future mountings
    I = Incremental: can only be incremented

在某些机器上我看到了 icmptimestamp 无效的错误

    root> no -L icmptimestamp
no: 1485-110 Invalid tunable name icmptimestamp

如果是这种情况,您可以将其添加到 /etc/tunables/nextboot ,它将在下次重新启动后禁用它

icmptimestamp = "0"

相关内容