ファイアウォールを使用せずにAIXでICMPタイムスタンプを無効にする方法

tag-icon tag-icon aix icmp
ファイアウォールを使用せずにAIXでICMPタイムスタンプを無効にする方法

AIX 6/7でこの機能を無効にする方法は? 「man no」には何も見えません。

このため、ファイアウォールのインストールは実際にはオプションではありません。

答え1

ICMPタイムスタンプ要求と応答は、IPフィルタを使用してブロックできます。

ファイルセットをインストールしたら、ipf用の設定ファイルを生成する必要があります。

# vi /etc/ipf.conf

以下を追加してください。

# Block ICMP timestamp requests and replies
block in log proto icmp from any to any icmp-type 13 
block in log proto icmp from any to any icmp-type 14

IPフィルタカーネル拡張ロード

# /usr/lib/methods/cfg_ipf -l

IPフィルタリングルールのロード

# ipf -f /etc/ipf.conf

ルールがロードされたことを確認する

# ipfstat -i

任意の ICMP タイプ時間で生の ICMP 記録を防止します。

任意のICMPタイプタイムストレップへの生ICMPロギングを防ぎます。

必要に応じてIPフィルタログデーモンを起動します。

# /usr/sbin/ipmon -s -D

起動時にIPフィルタカーネル拡張とルールをロードするには、inittabから呼び出されるスクリプトを作成します。

# vi /etc/rc.ipf

次のコンテンツが含まれています。

#!/bin/ksh
#
# Script to load ip filter kernel extension,
# filter rules, and logging
#

# Load IPFilter into kernel
/usr/lib/methods/cfg_ipf -l

# Load ipmon and log to syslog
/usr/sbin/ipmon -s -D

# Load IP filter rules
/usr/sbin/ipf -Fa -f /etc/ipf.conf

スクリプトを実行可能にする

# chmod 755 /etc/rc.ipf

次に、inittabにエントリを追加して、実行レベル2でスクリプトを実行します。

# mkitab "rcipf:2:once:/etc/rc.ipf > /dev/console 2>&1 # Load IP Filter"

ipmon は local0 ツールを使用して syslog にメッセージを送信します。これらのメッセージを記録するには、syslogを設定するだけです。

# vi /etc/syslog.conf

次の行をコンテンツとして追加します。

local0.debug     /var/adm/local0.log

次に、次のコマンドを実行します。

# touch /var/adm/local0.log
# refresh -s syslogd

源泉:http://www-01.ibm.com/support/docview.wss?uid=isg3T1012909

また、何を使用しても、少なくともデフォルトのファイアウォールを設定する必要があります。

答え2

ネットワーク調整可能項目を使用してこの機能を無効にできる必要があります。

no -p -o icmptimestamp=0

次のコマンドを使用して、この値の設定を確認できます。

no -L icmptimestamp

次のようにする必要があります

root> no -L icmptimestamp
--------------------------------------------------------------------------------
NAME                      CUR    DEF    BOOT   MIN    MAX    UNIT           TYPE
     DEPENDENCIES
--------------------------------------------------------------------------------
icmptimestamp             0      1      0      0      1      boolean           D
--------------------------------------------------------------------------------

調整可能な項目はDタイプなので動的で、すぐに適用されます。再起動する必要はありません。

Parameter types:
    S = Static: cannot be changed
    D = Dynamic: can be freely changed
    B = Bosboot: can only be changed using bosboot and reboot
    R = Reboot: can only be changed during reboot
    C = Connect: changes are only effective for future socket connections
    M = Mount: changes are only effective for future mountings
    I = Incremental: can only be incremented

一部のコンピュータでは、icmptimestampが無効であるというエラーが表示されます。

    root> no -L icmptimestamp
no: 1485-110 Invalid tunable name icmptimestamp

この場合、/etc/tunables/nextbootに追加すると、次の再起動後に無効になります。

icmptimestamp = "0"

関連情報