很多时候我们需要对设备进行一些设置,又不能让服务器重启,这时候就要使用内核参数了,这些参数是写在内存中的,保存在 /proc 下。下面我看一下内核禁ping的例子,现在很多扫描工具都是基于ping的,设置内核禁ping后,可以有效的防止这些,但是同时对自己管理服务器也会带来一些麻烦,如果有需要的话,可以这样子设置:
# sysctl -a |grep icmp
# ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.062 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.046 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.042 ms
# sysctl -w net.ipv4.icmp_echo_ignore_all=1 【1为启用禁ping,0是不使用禁ping -w 是写入】
net.ipv4.icmp_echo_ignore_all = 1
[root@desktop19 sys]# ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data. ##无响应
# cd /proc/sys/net/ipv4/
# cat icmp_echo_ignore_all
0
# echo 1 > icmp_echo_ignore_all
# cat icmp_echo_ignore_all
1
以上这些都是即时生效的,重启之后就失效了,下面看一下永久的!
#echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf
# tail -1 /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
# sysctl -p
使用 sysctl -p 使设置生效!
阅读(685) | 评论(0) | 转发(0) |