Linux 安全加固：禁用 IPv6 ICMP 重定向

在 Linux 系统安全基线检查中，IPv6 ICMP 重定向是一个常见的中危风险点。如果未禁用，攻击者可能利用该机制进行路由欺骗，导致流量被劫持或篡改。

---

🔎 什么是 ICMP 重定向

• ICMP 重定向：当路由器发现有更优路径时，会向主机发送 ICMP 重定向报文，提示其更新路由表。
• 风险：如果攻击者伪造 ICMP 重定向报文，就可能让系统错误地将流量路由到恶意节点，从而造成数据泄露或中间人攻击。

在 普通服务器或工作站 场景下，系统通常只需要固定的默认路由，不需要接受 ICMP 重定向，因此建议禁用。

---

⚠️ 风险描述

检查结果显示以下参数未禁用：

• net.ipv6.conf.all.accept_redirects
• net.ipv6.conf.default.accept_redirects

---

🛠️ 解决方案

1. 修改配置文件

编辑 /etc/sysctl.conf，添加以下内容：

net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

2. 立即生效

执行以下命令：

sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.default.accept_redirects=0
sysctl -w net.ipv6.route.flush=1

3. 验证结果

运行：

sysctl -a | grep accept_redirects

确保输出结果为：

net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

---

📌 注意事项

• 在 非路由器环境（如普通服务器），强烈建议禁用。
• 如果系统确实需要路由功能，可以保留，但要确保路由器配置安全。
• 修改后需 重启网络服务或系统，确保配置持久生效。

---

✅ 最佳实践

1. 将此配置纳入 安全基线，避免遗漏。
2. 使用自动化脚本定期检查内核参数，确保符合安全要求。
3. 在生产环境中，尽量使用 固定路由，避免依赖 ICMP 重定向。

---

📝 总结

禁用 IPv6 ICMP 重定向是 Linux 安全加固的重要一环。通过简单的配置修改，可以有效防止攻击者利用路由欺骗手段破坏网络通信，提升系统整体安全性。