網路服務選項摘要
若要達到更高層次的系統安全,您可以變更數個網路選項,使用 0 表示停用,使用 1 表示啟用。下列清單指定您可在 no 指令中使用的參數。
| 參數 | 指令 | 用途 |
|---|---|---|
| bcastping | /usr/sbin/no -o bcastping=0 | 容許對廣播位址的 ICMP 回應封包作出回應。停用它可防止 Smurf 攻擊。 |
| clean_partial_conns | /usr/sbin/no -o clean_partial_conns=1 | 指定是否避免 SYN (同步處理序號) 攻擊。 |
| directed_broadcast | /usr/sbin/no -o directed_broadcast=0 | 指定是否容許引導播送到閘道。設定為 0 有助於防止導向的封包到達遠端網路。 |
| icmpaddressmask | /usr/sbin/no -o icmpaddressmask=0 | 指定系統是否回應 ICMP 位址遮罩要求。停用它可防止透過來源路由攻擊存取。 |
| ipforwarding | /usr/sbin/no -o ipforwarding=0 | 指定核心是否應該轉遞封包。停用它可防止重新導向的封包到達遠端網路。 |
| ipignoreredirects | /usr/sbin/no -o ipignoreredirects=1 | 指定是否處理收到的重新導向。 |
| ipsendredirects | /usr/sbin/no -o ipsendredirects=0 | 指定核心是否應該傳送重新導向信號。停用它可防止重新導向的封包到達遠端網路。 |
| ip6srcrouteforward | /usr/sbin/no -o ip6srcrouteforward=0 | 指定系統是否轉遞來源路由 IPv6 封包。停用它可防止透過來源路由攻擊存取。 |
| ipsrcrouteforward | /usr/sbin/no -o ipsrcrouteforward=0 | 指定系統是否轉遞來源路由封包。停用它可防止透過來源路由攻擊存取。 |
| ipsrcrouterecv | /usr/sbin/no -o ipsrcrouterecv=0 | 指定系統是否接受來源路由封包。停用它可防止透過來源路由攻擊存取。 |
| ipsrcroutesend | /usr/sbin/no -o ipsrcroutesend=0 | 指定應用程式能否傳送來源路由封包。停用它可防止透過來源路由攻擊存取。 |
| nonlocsroute | /usr/sbin/no -o nonlocsrcroute=0 | 告訴網際網路通訊協定 (IP),嚴密的來源路由封包可以定址到區域網路外的主機。停用它可防止透過來源路由攻擊存取。 |
| tcp_icmpsecure | /usr/sbin/no -o tcp_icmpsecurer=1 | 保護 TCP 連線,使其不受 ICMP (網際網路控制訊息通訊協定) 來源抑制以及 PMTUD (「路徑 MTU 發現」) 攻擊。檢查 ICMP 訊息的承載量,來測試 TCP 標頭的序號是否在可接受的序號範圍內。值:0=關閉 (預設值);1=開啟。 |
| ip_nfrag | /usr/sbin/no -o ip_nfrag=200 | 指定 IP 重組佇列上,一次可保存的最大 IP 封包片段數 (預設值為 200,表示在 IP 重組佇列中,最多可保存 200 個 IP 封包片段)。 |
| tcp_pmtu_discover | /usr/sbin/no -o tcp_pmtu_discover=0 | 停用它可防止透過來源路由攻擊存取。 |
| tcp_tcpsecure | /usr/sbin/no -o tcp_tcpsecure=7 | 保護 TCP 連線不產生弱點。值:0=無保護;1=傳送偽造 SYN 到已建立的連線;2=傳送偽造 RST 到已建立的連線;3=在已建立的 TCP 連線中注入資料;5–7=上述弱點的組合。 |
| udp_pmtu_discover | /usr/sbin/no -o udp_pmtu_discover=0 | 啟用或停用 TCP 應用程式的路徑 MTU 探索。停用它可防止透過來源路由攻擊存取。 |
如需網路調整選項的詳細資訊,請參閱效能管理。