linux社区爱心援助Linux认证系列教程业界动态站务新闻公司招聘建议留言网址大全LPI专题CISCO专题
设为首页
加入收藏
管理团队
JSP  
JAVA  
PERL  
 您的位置:首页 > article > linux网络与应用 > 网络应用 >
栏目导栏
资料搜索
热门文章
·RedHat Linux9 iptables配置方
·Linux网络服务配置文件详解
·linux上的 heartbeat 双机热备
·用Xmanager远程管理LINUX,AIX
·SSH使用指南
·如何用IPtables限制BT、电驴等
·iptables设置一例
·RedHat做ADSL共享上网代理服务
·虚拟网络计算工具VNC使用指南
·使用Linux L2TP/IPsec VPN 服务
·在linux路由上设置IP和MAC绑定
·UART 基础知识
·车干子的openldap的详细配置
·十步建立Linux VPN服务器
·构筑防火墙之IPtables搭建防火
最新文章
·修改Linux操作系统下22端口两种
·关于Wget命令的使用技巧
·Ubuntu 8.04下搭建tftp开发dav
·初次远程做Linux Iptables规则
·Debian Linux系统Socks5服务器
·在Linux系统下享受IPv6的畅快
·查看Linux操作系统下的网络连接
·图形界面远程登录 基于NX技术F
·Linux操作系统下Xmanager工具登
·RHCE实验:Linux下基于xinetd的
·解决Linux Telnet登录慢问题
·实用技巧:Linux下用Samba作PD
·Ubuntu Linux下Azureus NAT设置
·宿主机WindowsXP与虚拟机Linux
·Linux系统下SSH keygen免输入密
Google
 
Slackware系统下缺省网络配置的安全问题
[ 作者:  加入时间:2007-12-19 15:09:39  来自:Linux联盟收集整理 ]
 

Slackware的缺省设置允许下列攻击:

1、IPV4 数据包转发(缺省打开)

在脚本大约19行处的IP数据包转发设置,缺省为ON。这个缺省值是不合适的,因为连接了网络的计算机缺省是不应该允许数据转发的。例如当一个在局域网内的拨号用户在与其ISP保持互联网连接时,这样的设置易受到局域网内的数据包转发攻击。

解决方法:在/etc/rc.d/rc.inet2中将'IPV4_FORWARD=1' 改为 'IPV4_FORWARD=0'。

2、RP_FILTER (不合理的假设)

紧跟着脚本对IP数据包转发设置,是一段关于rp_filter设置的注释。rp_filter用于对数据包源地址进行检查,以过滤外部攻击者使用IP欺骗进入内部网络。如果在允许IP转发的情况下没有打开这个设置,将易导致受到来自内部网的IP欺骗。按照这段注释和内核文档的内容,当允许IP转发时系统(缺省地)将隐式打开该项设置。然而实际上,如果只显式打开允许IP转发(IPV4_FORWARD=1),在/proc内的rp_filter的值仍旧为'0',这意味对数据包的来源不进行任何检查,从而成为导致这个漏洞的根源。

在察看了/etc/rc。d/rc。inet2的脚本后,这段说明是这样写的:

# When using IPv4 packet forwarding, you will also get the rp_filter, which

*^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^*

# automatically rejects incoming packets if the routing table entry for their

# source address doesn''t match the network interface they''re arriving on. This

# has security advantages because it prevents the so-called IP spoofing,

# however it can pose problems if you use asymmetric routing (packets from you

# to a host take a different path than packets from that host to you) or if

# you operate a non-routing host which has several IP addresses on different

# interfaces. To turn rp_filter off, uncomment the lines below:

# if [ -r /proc/sys/net/ipv4/conf/all/rp_filter ]; then

# echo "Disabling rp_filter..."

# echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

# fi

可见,slackware7的系统没有显式打开rp_filter,因此我们建议的解决方法是:

在说明后面加入

echo "Enableing rp_filter..."

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

这样就可以打开rp_filter设置。

3、TCP_SYNCOOKIES(在2.2.x内核下关闭)

用于防止TCP_SYN攻击的syn-cookies在2.0.x内核下是打开的(缺省),但在2.2.x内核下却被关闭(缺省)了。管理员应该将其恢复为打开状态,这样能保护系统免受'SYN flood'攻击。

Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论
评论】【加入收藏夹】【 】【打印】【关闭
※ 相关链接
 ·solaris网络配置  (2007-11-27 11:43:22)
 ·用VLAN解决宿舍网络安全问题  (2007-11-26 11:58:13)
 ·linux传统网络配置命令与ip高级路由命令  (2007-11-13 11:08:10)
 ·在VMware中Linux操作系统的网络配置解析  (2007-11-02 11:03:41)
 ·Linux操作系统简单网络配置命令  (2007-10-08 11:02:06)
 ·MySQL中LOAD DATA LOCAL安全问题  (2007-09-30 11:33:12)
 ·Fedora core Linux网络配置命令  (2007-09-30 10:04:44)
 ·Unix操作系统网络相关的两个安全问题  (2007-09-18 12:13:28)
 ·Linux操作系统口令文件安全问题详细解析  (2007-09-18 10:59:19)
 ·Ubuntu Linux Server的用户安全问题分析  (2007-08-03 10:31:02)
© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
Powered by xxlinux.com
 Free Sitemap Generator