Как отключить временную метку ICMP в AIX - без использования брандмауэра
Это очень плохая идея. Соглашение об именах существует, чтобы избежать разрыва между версиями мэра.
Каждому дистрибутиву требуются определенные версии некоторого мэрского программного обеспечения; если бы вы заменили python 2.x на python3, ваша система стала бы непригодной для использования, возможно, без возможности восстановления.
ICMP-запросы и ответы с отметками времени могут быть заблокированы с помощью IP-фильтров.
После установки наборов файлов вам нужно будет создать файл конфигурации для ipf
# vi /etc/ipf.conf
и добавить следующее в качестве содержимого:
# Block ICMP timestamp requests and replies
block in log proto icmp from any to any icmp-type 13
block in log proto icmp from any to any icmp-type 14
Загрузить расширение ядра IP-фильтра
# /usr/lib/methods/cfg_ipf -l
Загрузить правила IP-фильтра
# ipf -f /etc/ipf.conf
Подтвердить были загружены блоки
# ipfstat -i
в протоколе протокола icmp от любого к любому типу icmp timest
блоку в протоколе протокола icmp от любого к любому временному интервалу типа icmp
При желании запустить демон протоколирования IP-фильтра
# /usr/sbin/ipmon -s -D
Чтобы загрузить расширение ядра IP-фильтра и правила при загрузке, вы можете создать сценарий, который будет вызываться из inittab
# vi /etc/rc.ipf
, со следующим содержанием:
#!/bin/ksh
#
# Script to load ip filter kernel extension,
# filter rules, and logging
#
# Load IPFilter into kernel
/usr/lib/methods/cfg_ipf -l
# Load ipmon and log to syslog
/usr/sbin/ipmon -s -D
# Load IP filter rules
/usr/sbin/ipf -Fa -f /etc/ipf.conf
Сделать сценарий исполняемым
# chmod 755 /etc/rc.ipf
Затем добавить запись в inittab для выполнения сценарий на уровне выполнения 2
# mkitab "rcipf:2:once:/etc/rc.ipf > /dev/console 2>&1 # Load IP Filter"
ipmon будет отправлять сообщения в системный журнал с помощью средства local0. Если вы хотите регистрировать эти сообщения, вы можете настроить системный журнал для этого.
# vi /etc/syslog.conf
Добавьте следующую строку в качестве содержимого:
local0.debug /var/adm/local0.log
Затем выполните команды:
# touch /var/adm/local0.log
# refresh -s syslogd
Источник: http://www-01.ibm.com/support/docview.wss?uid=isg3T1012909
Кроме того, независимо от того, что вы используете, у вас всегда должен быть установлен хотя бы базовый брандмауэр.
Debería poder deshabilitar esto mediante el ajuste de red.
no -p -o icmptimestamp=0
Puede verificar cuál es el valor establecido con:
no -L icmptimestamp
Debería verse así
root> no -L icmptimestamp
--------------------------------------------------------------------------------
NAME CUR DEF BOOT MIN MAX UNIT TYPE
DEPENDENCIES
--------------------------------------------------------------------------------
icmptimestamp 0 1 0 0 1 boolean D
--------------------------------------------------------------------------------
Dado que este sintonizable es de tipo D, es dinámico y surte efecto inmediatamente. No es necesario reiniciar.
Parameter types:
S = Static: cannot be changed
D = Dynamic: can be freely changed
B = Bosboot: can only be changed using bosboot and reboot
R = Reboot: can only be changed during reboot
C = Connect: changes are only effective for future socket connections
M = Mount: changes are only effective for future mountings
I = Incremental: can only be incremented
En algunas máquinas he visto el error de que icmptimestamp no es válido
root> no -L icmptimestamp
no: 1485-110 Invalid tunable name icmptimestamp
Si este es el caso, puede agregarlo a /etc/tunables/nextboot y lo desactivará después de su próximo reinicio
icmptimestamp = "0"