客户反应他们的p650不断ping省局的某台机器,其实这是AIX的PMTU路由发现功能导致,这个可以关掉,不影响AIX网络功能
no -po tcp_pmtu_discover=0 -o udp_pmtu_discover=0
客户还有3台机器是AIX5.1,需要把这句话加入到/etc/rc.net中去
几项网络安全相关的no参数详解
内容提要: 本文主要介绍了通过no命令可以调整的几个与网络安全相关的参数。这些参数不适当的设置将有可能引起非法入侵者的网络攻击。本文同时给出了为了达到更高的系统安全级别应该如何设置这些参数,可以作为管理员的参考。请注意,在确定修改您系统no参数之前,请根据您网络的具体情况确认是否可以更改这些参数,以免造成网络访问故障。
说明:
为使系统安全性达到较高级别,可以使用 0 禁用和 1 启用来更改几个网络选项。以下列表标识了这些可以与 no 命令一起使用的参数。
| 参数 | 命令 | 用途 |
| bcastping | /usr/sbin/no -o bcastping=0 | 允许以广播地址响应 ICMP 回送信息包。禁用它来防止 Smurf 攻击。 |
| clean_partial_conns | /usr/sbin/no -o clean_partial_conns=1 | 指定是否要避免 SYN(同步序列号)攻击。 |
| directed_broadcast | /usr/sbin/no -o directed_broadcast=0 | 指定是否允许对网关进行定向广播。设置为 0 有助于防止定向信息包到达远程网络。 |
| icmpaddressmask | /usr/sbin/no -o icmpaddressmask=0 | 指定系统是否响应 ICMP 地址掩码请求。禁用它可以防止通过源路由攻击进行访问。 |
| ipforwarding | /usr/sbin/no -o ipforwarding=0 | 指定内核是否应转发信息包。禁用它可以防止重定向的信息包到达远程网络。 |
| ipignoreredirects | /usr/sbin/no -o ipignoreredirects=1 | 指定是否处理收到的重定向。 |
| ipsendredirects | /usr/sbin/no -o ipsendredirects=0 | 指定内核是应该否发送重定向信号。禁用它可以防止重定向的信息包到达远程网络。 |
| ip6srcrouteforward | /usr/sbin/no -o ip6srcrouteforward=0 | 指定系统是否转发源路由 IPv6 信息包。禁用它可以防止通过源路由攻击进行访问。 |
| ipsrcrouteforward | /usr/sbin/no -o ipsrcrouteforward=0 | 指定系统是否转发源路由信息包。禁用它可以防止通过源路由攻击进行访问。 |
| ipsrcrouterecv | /usr/sbin/no -o ipsrcrouterecv=0 | 指定系统是否接受源路由信息包。禁用它可以防止通过源路由攻击进行访问。 |
| ipsrcroutesend | /usr/sbin/no -o ipsrcroutesend=0 | 指定应用程序是否能够发送源路由信息包。禁用它可以防止通过源路由攻击进行访问。 |
| nonlocsroute | /usr/sbin/no -o nonlocsrcroute=0 | 告诉“网际协议”严格源路由信息包可以对本地网络以外的主机寻址。禁用它可以防止通过源路由攻击进行访问。 |
| tcp_pmtu_discover | /usr/sbin/no -o tcp_pmtu_discover=0 | 禁用它可以防止通过源路由攻击进行访问。 |
| udp_pmtu_discover | /usr/sbin/no -o udp_pmtu_discover=0 | 启用或禁用 TCP 应用程序的路径 MTU 发现。禁用它可以防止通过源路由攻击进行访问。 |
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8242091/viewspace-598173/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/8242091/viewspace-598173/
679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
