由于等保测评要求,最近需要协助加固Linux的云服务器,修复这两个漏洞,故查阅了相关资料,整理起来以便以后回看

环境:Centos6.9

ICMP timestamp 请求响应漏洞

解决方案:

  • 在您的防火墙上过滤外来的ICMP timestamp(类型13)报文以及外出的ICMP timestamp回复报文。

    具体解决方式就是禁用ICMP timestamp-request,编辑etc/sysconfig/iptables文件,在防火墙规则里面添加如下两条记录:

    [root@i-721DFB51 ~]# vim /etc/sysconfig/iptables# add the following two lines to limit icmp timestamp 20191029-A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP-A INPUT -p icmp -m icmp --icmp-type timestamp-reply -j DROP

解决允许Traceroute探测

解决方案:

  • 添加相关规则

    [root@i-721DFB51 ~]# vim /etc/sysconfig/iptables

    # add the following two lines to ban Traceroute Detection
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type time-exceeded -j DROP

  • 重启iptables服务

    service iptables restart

  • 检查新添加的规则是否生效

    iptables -L -n

生效的话会显示添加下面几条规则,13,14是ICMP timestamp 请求响应漏洞的规则,11是解决允许Traceroute探测的

DROP       icmp --  0.0.0.0/0           0.0.0.0/0           icmp type 13
DROP       icmp --  0.0.0.0/0           0.0.0.0/0           icmp type 14
DROP       icmp --  0.0.0.0/0           0.0.0.0/0           icmp type 11Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11

除了上面的直接修改文件的方式,我们也可以直接使用iptable的命令进行修改规则,直接在终端命令行输入如下命令

iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP

输入之后,执行iptables -L -n查看修改的规则情况。
不过注意,现在这只是临时生效,一旦你service iptables restart重启iptables服务,你就会发现,你设定的规则不见了。
如果你想跟上面修改文件的达到永久生效的效果,你只需要执行一句命令service iptables save对我们修改过的规则进行保存即可。

第二种方法我直接写了一个脚本来跑

#!/bin/bash
# 使用环境:Centos6.9
# 备份原来的防火墙规则
/bin/cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
# ICMP timestamp 请求响应漏洞
iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
# 解决允许Traceroute探测
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
# 查看修改后的防火墙规则
iptables -L -n
# 查看是否符合预期,是的话输入yes保存,否则输入no回退到之前的防火墙规则
echo "Is the rules save? (yes/no)"
while true
doread optionif [ $option == "yes" ];thenservice iptables saveservice iptables restartbreakelif [ $option == "no" ];thenservice iptables restartbreakelseecho "Please input yes/no"fi
done
# 查看保存后的防火墙规则是否生效
iptables -L -n

环境:Centos7.5

由于不知道怎么使用firewall-cmd来修改规则,只能在centos7上重新安装iptables服务,并关闭firewalld服务

yum install iptables-services -y
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.servicesystemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

安装完成之后就如上面一样修改/etc/sysconfig/iptables文件即可(这只是一个取巧的方法,欢迎大家批评指正)

参考链接

https://www.cnblogs.com/toughlife/p/5475256.html

https://www.cnblogs.com/liushui-sky/p/9442299.html

在Linux防火墙上过滤外来的ICMP timestamp和禁止Traceroute探测相关推荐

  1. 在您的防火墙上过滤外来的ICMP timestamp(类型 13) 如何处理?

    收到安全厂商的评估报告,线上一台CentOS的系统被告知漏洞如下: 漏洞名称 ICMP时间戳检测(原理扫描) 受影响IP 192.168.31.1 漏洞等级 信息 CVE编号 CVE-1999-052 ...

  2. P2P在NAT和防火墙上的穿透

    概述 本文主要讨论关于P2P通信的一些常见问题和解决方案.主要内容包含:P2P通信与网络设备的关系.不同的网络设备特征对P2P产生的影响.网络地址转换(NAT)的类型.NAT类型的检测方法.协议防火墙 ...

  3. linux防火墙cc,Linux防火墙后面的Alljoyn服务(iptables)

    我想在嵌入式linux设备上使用Alljoyn框架.由于安全原因,有必要为该设备配置防火墙.这是通过iptables完成的.Linux防火墙后面的Alljoyn服务(iptables) 我到目前为止所 ...

  4. 利用 Linux tap/tun 虚拟设备写一个 ICMP echo 程序

    利用 Linux tap/tun 虚拟设备写一个 ICMP echo 程序 前面两篇文章已经介绍过 tap/tun 的原理和配置工具.这篇文章通过一个编程示例来深入了解 tap/tun 的程序结构. ...

  5. Linux 使用grep过滤多个条件及grep常用过滤命令

    这篇文章主要介绍了Linux 使用grep筛选多个条件及grep常用过滤命令,需要的朋友可以参考下 cat log.txt | grep 条件: cat log.txt | grep 条件一 | gr ...

  6. 解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题

    解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题 参考文章: (1)解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题 (2)https://www.cnblogs. ...

  7. eNSP:如何解决防火墙上出现大量的提示信息呢?

    如何解决eNSP中防火墙上出现大量的提示信息呢? 我们任意选择一个视图,输入如下命令,就可以解决防火墙上出现提示信息的干扰问题. 在用户视图下,我们可以输入undo terminal monitor, ...

  8. 如何在ASA防火墙上实现ipsec ***

    博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec ...

  9. 防火墙上配置IPsec vpn (超详细附带思路看完就会)

    目录 实验配置 拓扑图 思路: 基础配置部分 ipsec vpn部分 防火墙部分 开始配置 ipsec vpn部分 ipsec安全提案,指定封装模式,使用数据加密协议,协议的认证算法和加密算法 Ike ...

最新文章

  1. java读avro的流_0016-Avro序列化反序列化和Spark读取Avro数据
  2. 深度:Leap Motion手势识别大揭秘
  3. Camera360SDK
  4. SAP CRM WebClient UI Technical profile里timeout 设置
  5. ExtJS4.2学习(21)动态菜单与表格数据展示操作总结篇2
  6. 平行志愿计算机录取顺序,几张图,看懂平行志愿全部录取过程
  7. 从零开始学Pytorch(三)之多层感知机的实现
  8. mysql sycho_2005年12月23日
  9. 【图像检测-边缘检测】基于PCNN实现图像边缘提取附matlab代码
  10. dBm、dBW和W转换
  11. 文本分析苏轼的词以及苏轼的人生轨迹地图
  12. 喜马拉雅FM下载的音频文件保存在哪_怎么导出来
  13. 荣耀手机总显示无法连接服务器,荣耀继承者无法连接服务器是什么原因
  14. matlab 混沌工具箱,matlab混沌工具箱
  15. CSUSTOJ 论演员的自我修养(组合数学)
  16. php get defined,php中get_defined_constants函数用法实例分析
  17. 计算机命令清除所有,电脑深度清理命令设置方法
  18. 《全程软件测试第三版》读书笔记
  19. 窗口根据屏幕分辨率自动调整大小
  20. yolov5 的 detect 层 与 anchor 机制

热门文章

  1. SQL Server 存储过程 迪杰斯特拉算法 大规模 表格存储 不是矩阵
  2. 用jquery方法的字符串截取,jquery字符串截取
  3. vue事件修饰符详解
  4. 演讲类或观点类的爆款短视频脚本是怎样写出来的?模板分享
  5. 华克金2019年预计价格_预计2019年将出现新的网络安全威胁
  6. 消息中间件之ActiveMQ原理及使用教程(持久化、JMS可靠消息、重试机制与幂等性问题)
  7. Spine动画局部换装(切换武器)
  8. mac 升级系统到 bigsur navicat 打不开 找回本地保存的查询sql文件
  9. 洛谷P4138 [JOISC2014]挂饰 题解
  10. html鼠标放在图片上图片放大