在对我的其中一台服务器运行 NeXpose 扫描后,我收到通知,TCP MD5 签名可能未启用。我查看了整个网络,从我所看到的来看,该功能应该在最新的内核中启用,但我仍然无法找到确认的方法。任何帮助都将不胜感激。
答案1
从终端运行此命令:
grep MD5SIG /boot/config-`uname -r`
如果你看到这个:
CONFIG_TCP_MD5SIG=y
然后 TCP MD5 签名在内核中被编译,因此您的操作系统能够使用它们(在这种情况下,您会从扫描仪中得到误报)。
根据扫描仪实际报告的内容,请注意,对于每个 TCP 连接,MD5 签名需要明确通过调用启用setsockopt。
答案2
也许你指的是TCP SYN cookie. 要启用它们:
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies