操作系统:CentOS 7.0
根据安全扫描的结果,有人建议我们阻止ICMP时间戳&使用防火墙的时间戳回复消息(CVE-1999-0524).我已经使用firewalld为SSH设置了一些基本的IP过滤以及允许HTTPS,但我对此感到困惑.
我唯一能想到的是firewall-cmd –add-icmp-block,但我找不到似乎与timestamp或timestamp回复相关的icmptype.
可用的类型(firewall-cmd –get-icmptypes)如下:
destination-unreachable echo-reply echo-request参数 – 问题重定向路由器 – 广告路由器 – 请求源 – 超时超时.
如何使用firewalld阻止ICMP时间戳请求?
firewalld附带一组默认的预定义ICMP类型,您可以使用它们:
# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded timestamp-reply timestamp-request
解析器(/usr/lib/python2.7/site-packages/firewall/core/io/icmptype.py)不仅限于这些类型,并且允许扩展:
首先,根据man iptables-extensions(8),部分icmp:
icmp (IPv4-specific)
This extension can be used if `–protocol icmp’ is specified. It prov