在 Linux 系统安全基线检查中,IPv6 ICMP 重定向是一个常见的中危风险点。如果未禁用,攻击者可能利用该机制进行路由欺骗,导致流量被劫持或篡改。
🔎 什么是 ICMP 重定向
- ICMP 重定向:当路由器发现有更优路径时,会向主机发送 ICMP 重定向报文,提示其更新路由表。
- 风险:如果攻击者伪造 ICMP 重定向报文,就可能让系统错误地将流量路由到恶意节点,从而造成数据泄露或中间人攻击。
在 普通服务器或工作站 场景下,系统通常只需要固定的默认路由,不需要接受 ICMP 重定向,因此建议禁用。
⚠️ 风险描述
检查结果显示以下参数未禁用:
net.ipv6.conf.all.accept_redirectsnet.ipv6.conf.default.accept_redirects
🛠️ 解决方案
1. 修改配置文件
编辑 /etc/sysctl.conf,添加以下内容:
bash
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 02. 立即生效
执行以下命令:
bash
sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.default.accept_redirects=0
sysctl -w net.ipv6.route.flush=13. 验证结果
运行:
bash
sysctl -a | grep accept_redirects确保输出结果为:
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0📌 注意事项
- 在 非路由器环境(如普通服务器),强烈建议禁用。
- 如果系统确实需要路由功能,可以保留,但要确保路由器配置安全。
- 修改后需 重启网络服务或系统,确保配置持久生效。
✅ 最佳实践
- 将此配置纳入 安全基线,避免遗漏。
- 使用自动化脚本定期检查内核参数,确保符合安全要求。
- 在生产环境中,尽量使用 固定路由,避免依赖 ICMP 重定向。
📝 总结
禁用 IPv6 ICMP 重定向是 Linux 安全加固的重要一环。通过简单的配置修改,可以有效防止攻击者利用路由欺骗手段破坏网络通信,提升系统整体安全性。