从安全角度来说,设置禁止ping是可以增加系统安全的,但是此操作却是不必须的。因为我们有时候自己内部也会通过ping来检查服务器是否异常。
此项操作在杜绝外部来源的ping操作时,同时也禁止了来自内部的ping操作。
当然,对于安全要求很高的服务器来说,设置禁ping还是很有必要的。
下面我来演示操作步骤
操作系统:一台IP为192.168.217.148的 Ubuntu18.04,一台IP为192.168.217.145的Redhat 7
操作方式:以Redhat向Ubuntu进行ping操作。
在设置之前,我们首先验证一下Redhat是否可以ping通Ubuntu。1
ping -c 4 192.168.217.148
然后我们对Ubuntu设置禁ping。此项操作只有root用户才有写入权限,所以Ubuntu需要切换到root用户才行。1
2
3echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf
tail -1 /etc/sysctl.conf
sysctl -p
设置完成后,我们再次ping一下,查看是否已经禁止了被ping。
可以从图中看到,Ubuntu已经禁止被ping了。
下面我们取消被ping操作。
我们用vim打开/etc/sysctl.conf,然后删除刚才写入的”net.ipv4.icmp_echo_ignore_all=1”。
然后执行以下命令1
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
我们再次ping一下查看是否已经可以了。
已经可以再次ping通了。
而我们比较好的策略是通过iptables设置让特定的IP可以ping,比如让我们的运维管理人员等或内网用户可以ping,其他外部用户不能ping。
比如:我们可以使一个网段的IP可以ping。1
iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 -s 192.168.217.0/24 -j ACCEPT
此项操作使得192.168.217.0/24 网段内主机可以ping。
当然我们可以通过iptables过滤的更加细致。这些不在本次讨论之中,就不说了。
总而言之,我们在做安全策略的时候,需要考虑各个方面,我们需要根据权限的不同设置不同的过滤规则。
扫码进群,我等待你的加入
本文作者:冰羽
本文地址: https://bingyublog.com/2019/01/20/禁止Linux系统被ping/
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
