방화벽을 사용하지 않고 AIX에서 ICMP 타임스탬프를 비활성화하는 방법

tag-icon tag-icon aix icmp
방화벽을 사용하지 않고 AIX에서 ICMP 타임스탬프를 비활성화하는 방법

AIX 6/7에서 이 기능을 비활성화하는 방법은 무엇입니까? "man no"에는 아무것도 보이지 않습니다.

이러한 이유로 방화벽을 설치하는 것은 실제로 선택 사항이 아닙니다.

답변1

ICMP 타임스탬프 요청 및 응답은 IP 필터를 사용하여 차단할 수 있습니다.

파일 세트를 설치한 후 ipf용 구성 파일을 생성해야 합니다.

# vi /etc/ipf.conf

다음을 추가하세요.

# Block ICMP timestamp requests and replies
block in log proto icmp from any to any icmp-type 13 
block in log proto icmp from any to any icmp-type 14

IP 필터 커널 확장 로드

# /usr/lib/methods/cfg_ipf -l

IP 필터링 규칙 로드

# ipf -f /etc/ipf.conf

규칙이 로드되었는지 확인

# ipfstat -i

임의의 ICMP 유형 시간에서 원시 ICMP 기록을 방지합니다.

임의의 ICMP 유형 타임스트렙에서 원시 ICMP 로깅을 방지합니다.

필요한 경우 IP 필터 로그 데몬을 시작합니다.

# /usr/sbin/ipmon -s -D

부팅 시 IP 필터 커널 확장 및 규칙을 로드하려면 inittab에서 호출되는 스크립트를 생성하면 됩니다.

# vi /etc/rc.ipf

다음 콘텐츠가 포함되어 있습니다:

#!/bin/ksh
#
# Script to load ip filter kernel extension,
# filter rules, and logging
#

# Load IPFilter into kernel
/usr/lib/methods/cfg_ipf -l

# Load ipmon and log to syslog
/usr/sbin/ipmon -s -D

# Load IP filter rules
/usr/sbin/ipf -Fa -f /etc/ipf.conf

스크립트를 실행 가능하게 만들기

# chmod 755 /etc/rc.ipf

그런 다음 inittab에 항목을 추가하여 실행 수준 2에서 스크립트를 실행합니다.

# mkitab "rcipf:2:once:/etc/rc.ipf > /dev/console 2>&1 # Load IP Filter"

ipmon은 local0 도구를 사용하여 syslog에 메시지를 보냅니다. 이러한 메시지를 기록하려면 syslog를 구성하면 됩니다.

# vi /etc/syslog.conf

다음 줄을 콘텐츠로 추가합니다.

local0.debug     /var/adm/local0.log

그런 다음 다음 명령을 실행합니다.

# touch /var/adm/local0.log
# refresh -s syslogd

원천:http://www-01.ibm.com/support/docview.wss?uid=isg3T1012909

또한 무엇을 사용하든 최소한 기본 방화벽은 설정해야 합니다.

답변2

네트워크 조정 가능 항목을 사용하여 이 기능을 비활성화할 수 있어야 합니다.

no -p -o icmptimestamp=0

다음 명령을 사용하여 이 값의 설정을 확인할 수 있습니다.

no -L icmptimestamp

다음과 같아야합니다

root> no -L icmptimestamp
--------------------------------------------------------------------------------
NAME                      CUR    DEF    BOOT   MIN    MAX    UNIT           TYPE
     DEPENDENCIES
--------------------------------------------------------------------------------
icmptimestamp             0      1      0      0      1      boolean           D
--------------------------------------------------------------------------------

조정 가능 항목은 D 유형이므로 동적이며 즉시 적용됩니다. 다시 시작할 필요가 없습니다.

Parameter types:
    S = Static: cannot be changed
    D = Dynamic: can be freely changed
    B = Bosboot: can only be changed using bosboot and reboot
    R = Reboot: can only be changed during reboot
    C = Connect: changes are only effective for future socket connections
    M = Mount: changes are only effective for future mountings
    I = Incremental: can only be incremented

일부 컴퓨터에서는 icmptimestamp가 유효하지 않다는 오류가 표시됩니다.

    root> no -L icmptimestamp
no: 1485-110 Invalid tunable name icmptimestamp

이 경우 /etc/tunables/nextboot에 추가하면 다음 재부팅 후에 비활성화됩니다.

icmptimestamp = "0"

관련 정보