Linux 安全加固:禁用 IPv4 ICMP 重定向发送

在 Linux 系统安全基线检查中,IPv4 ICMP 重定向是一个常见的中危风险点。如果未禁用,攻击者可能利用该机制进行路由欺骗,导致用户访问到恶意系统。


🔎 什么是 ICMP 重定向

  • ICMP 重定向:当主机发现数据包的路由更优时,会向源主机发送 ICMP 重定向报文,提示其更新路由。
  • 风险:如果攻击者控制了某台主机,就可能伪造 ICMP 重定向报文,把流量引导到恶意路由器或伪造的系统,从而窃取或篡改数据。

非路由器场景(例如普通服务器或工作站),主机无需发送 ICMP 重定向,因此建议禁用。


⚠️ 风险描述

检查结果显示以下参数未禁用:

  • net.ipv4.conf.all.send_redirects
  • net.ipv4.conf.default.send_redirects

🛠️ 解决方案

1. 修改配置文件

编辑 /etc/sysctl.conf,添加以下内容:

bash 复制代码
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

2. 立即生效

执行以下命令:

bash 复制代码
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.default.send_redirects=0
sysctl -w net.ipv4.route.flush=1

3. 验证结果

运行:

bash 复制代码
sysctl -a | grep send_redirects

确保输出结果为:

复制代码
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

📌 注意事项

  • 如果服务器作为 Docker 宿主机 或需要路由功能,可以忽略此项。
  • 在普通服务器或工作站环境,强烈建议禁用,避免被利用进行路由欺骗。
  • 修改后需 重启网络服务或系统,确保配置持久生效。

✅ 最佳实践

  1. 将安全基线检查纳入日常运维流程。
  2. 使用自动化脚本定期扫描并修复常见内核参数风险。
  3. 保持 /etc/sysctl.conf 配置与安全基线一致,避免遗漏。

📝 总结

禁用 IPv4 ICMP 重定向发送是 Linux 安全加固的重要一环。通过简单的配置修改,可以有效防止攻击者利用路由欺骗手段破坏网络通信,提升系统整体安全性。

相关推荐
大飞记Python21 分钟前
Linux命令速查手册(测试开发4年实战总结,附PDF)
linux·网络·pdf
冰茶丿28 分钟前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
liguojun20251 小时前
篮球馆自动计时收费系统:从规则配置到自动结算的全流程拆解
java·大数据·运维·人工智能·物联网·1024程序员节
Promise微笑2 小时前
红外分辨率 160×120、320×240、384×288 与 640×480实战选型指南
大数据·运维·人工智能·物联网
顾喵2 小时前
PetaLinux 2017.4 实操指南:PREEMPT_RT实时补丁移植+Zynq PL中断UIO用户态配置(超完整避坑版)
linux
长风2302 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
小樱花的樱花2 小时前
Linux 线程的创建
linux·c语言·开发语言
云飞云共享云桌面2 小时前
单机建模卡顿运维繁琐!中小型机械制造厂云飞云 3D 云桌面落地
运维·服务器·网络·3d·自动化·电脑·负载均衡
mounter6253 小时前
BPF 的进化史:从网络过滤器到 AI 时代的 Linux 核心引擎
linux·网络·人工智能·ebpf·linux kernel·kernel
YMWM_3 小时前
video.preset的值为null和ultrafast的区别
linux·video