Linux ICMP时间戳漏洞修复

Posted 2020-08-15

近日，在对服务器（系统CentOS 6.8 x64）进行风险评估检测时，出现以下低风险漏洞，虽然风险较低，但看着就是不爽。长期从事IT工作的，总要追求完美嘛。

 

漏洞描述：服务器会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许攻击者攻击一些基于时间认证的协议。

    解决建议：可采取以下措施以降低威胁：在防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文。

 

根据以上建议，启用iptables防火墙，增加过滤规则：

    # chkconfig iptables on

    # service iptables start

    # iptables –L

    以上三步，如果防火墙已开启，并不需要。

 

    # iptables -A INPUT -p ICMP --icmp-type timestamp-request-j DROP

    # iptables -A OUTPUT -p ICMP --icmp-type timestamp-reply-j DROP

 

    # iptables -L

        

    # service iptables save

    iptables：将防火墙规则保存到 /etc/sysconfig/iptables：     [确定]

 

    再次进行扫描测试，该风险已不存在。

 

    ps: 时隔好久，没来写博文了，懒造成的，自我检讨一下。

本文出自 “天高任鸟飞，海阔凭鱼跃” 博客，请务必保留此出处http://xjlegend.blog.51cto.com/59163/1874017