本文介绍了一种在线上CentOS系统中发现的ICMPtimestamp请求响应漏洞,并提供了详细的解决方案。通过在防火墙规则中禁用ICMP timestamp-request及reply,确保服务器不再接收或发送此类报文。
今天收到安全厂商的评估报告,线上一台CentOS的系统被告知漏洞如下:
解决方案:
* 在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文。
google之,于是动手解决:
具体解决方式就是禁用ICMP
timestamp-request,编辑etc/sysconfig/iptables文件,在防火墙规则里面添加如下记录:
-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-request -j DROP -A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-reply -j DROP
接下来,重启iptables服务,重启命令:service iptables restart
检查新添加的规则是否有效,检查命令:iptables -L -n
你会看到若干文字中的如下两条:
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 13 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 14
这些规则告诉server 不要使用ICMP timestamp 包。
转载于:https://blog.51cto.com/wuhancd/934678
扫一扫
1551
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
