许多缺省情况下安全的网络参数是可调的,因此可能已发生变化,不再是缺省值。如果站点条件允许,可将以下可调参数恢复为缺省值。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
缺省值可阻止来自欺骗性包的 DOS 攻击。
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
有关更多信息,请参见Oracle Solaris 11.2 可调参数参考手册 中的forwarding(ipv4 或 ipv6)。
缺省值可防止散播有关网络拓扑的信息。
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
缺省值可删除系统上的其他 CPU 需求,并防止散播有关网络的信息。
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
缺省值可删除系统上的其他 CPU 需求,并防止散播有关网络的信息。
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
缺省值可防止包绕过网络安全措施。源路由包允许包的源建议路由器上配置的路径以外的其他路径。
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
另请参见
ipadm(1M) 手册页