禁止你的Linux系统被PING
骚年 运维少年
简述
ping命令时ICMP协议命令集中最重要的一个命令之一,也是我们运维人员故障排除的第一步,为什么服务不能用了?先ping一下看通不通呗!相信很多人都有过这种经验。
但是从安全角度来说,ping有时候又是不安全的,很多的扫描探测软件都使用了ping操作去判断主机是否存活,当然更多的时arp ping的方式。所以设置禁止ping可以增加系统安全,但是此操作却是不必须的。因为我们有时候自己内部也会通过ping来检查服务器是否异常。
实验环境
操作系统:一台IP为192.168.43.6的windows10,一台IP为192.168.43.25的KALI Linux
操作方式:用Windows10向KALI进行ping操作。
测试ping操作
ping 192.168.43.25
配置禁止ping
对KALI设置禁ping。此项操作只有root用户才有写入权限。
echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf
tail -1 /etc/sysctl.conf
sysctl -p
设置完成后,再次ping一下,验证ping是否已经被禁止。
从上图看到,KALI已经禁止被ping了。
取消禁止配置
删除刚才写入的”net.ipv4.icmp_echo_ignore_all=1”。
然后执行以下命令
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
再ping一下查看是否可以通。
但是这种方式时野蛮粗鲁的,他禁止了所有的ping操作,但在实际的运用中往往不是这样的。在实际的运用中,一般允许管理网段能ping通服务器,以便管理员来排查故障。如果需要实现以上功能,则可以通过iptables来进行设置。
iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 -s 192.168.43.0/24 -j ACCEPT
这样设置完成之后,KALI就可以被192.168.43.0/24网段ping通了~
所以,我们在做安全策略的时候,需要考虑各个方面,我们需要根据权限的不同设置不同的过滤规则,而不是简单的禁止所有。