Linux系统的其他安全、优化

一、对Ping无响应

方法1、修改内核参数

1）临时生效：

2）永久生效：

编辑内核参数配置文件/etc/sysctl.conf,添加

net.ipv4.icmp_echo_ignore_all = 1sysctl -p 生效

方法2、使用iptables 防火墙

echo-request (ping) 8：

echo-reply (pong) 0：

iptables -I INPUT 2 -p icmp --icmp-type 8 -j DROP 丢弃ICMP类型为8的数据包iptables -I INPUT 3 -p icmp --icmp-type 0 -j ACCEPT 允许ICMP类型为0的数据包通过

ICMP数据包类型代码对应表

TYPE

0333333

CODE

0012345

Description

Echo Reply——回显应答（Ping应答）Network Unreachable——网络不可达Host Unreachable——主机不可达Protocol Unreachable——协议不可达Port Unreachable——端口不可达

Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特Source routing failed——源站选路失败

Query

x

Error

xxxxxx

TYPE

3333333333455551011111212131415161718

CODE

671011121314150012300001010

Description

Destination network unknown——目的网络未知Destination host unknown——目的主机未知

Source host isolated (obsolete)——源主机被隔离（作废不用）

Destination network administratively prohibited——目的网络被强制禁止Destination host administratively prohibited——目的主机被强制禁止Network unreachable for TOS——由于服务类型TOS，网络不可达Host unreachable for TOS——由于服务类型TOS，主机不可达

Communication administratively prohibited by filtering——由于过滤，通信被强制禁止Host precedence violation——主机越权Precedence cutoff in effect——优先中止生效Source quench——源端被关闭（基本流控制）Redirect for network——对网络重定向Redirect for host——对主机重定向

Redirect for TOS and network——对服务类型和网络重定向Redirect for TOS and host——对服务类型和主机重定向Echo request——回显请求（Ping请求）Router advertisement——路由器通告Route solicitation——路由器请求

TTL equals 0 during transit——传输期间生存时间为0

TTL equals 0 during reassembly——在数据报组装期间生存时间为0IP header bad (catchall error)——坏的IP首部（包括各种差错）Required options missing——缺少必需的选项

Timestamp request (obsolete)——时间戳请求（作废不用）Timestamp reply (obsolete)——时间戳应答（作废不用）

QueryError

xxxxxxxxxx

x

xxxx

xxxxx

0000

Information request (obsolete)——信息请求（作废不用）Information reply (obsolete)——信息应答（作废不用）Address mask request——地址掩码请求Address mask reply——地址掩码应答

2、关于SELinux的设置

SELinux---基于Linux的安全子系统，可以实现MAC（强制访问控制）建议把它关闭

配置源文件：/etc/selinux/config 软链接文件：/etc/sysconfig/selinux

SELINUX=disabled

sed -i 's#SELINUX=disabled#SELINUX=enforcing#' /etc/selinux/config

【注意】：

对链接文件操作时会破坏原有的链接关系，因此建议在使用-i指令对链接文件作修改时一定要对原文件进行操作。

重启才会生效：

3、Sed经典用法

sed---非交互式的流编辑器

sed - stream editor for filtering and transforming text 一个流编辑器，对文本进行过滤和转换

（1）替换

s/regexp/replacement/

sed -i s#xiaoxiao#qwfy#g test.txt[选项说明]：

s---查找替换g---全局替换-i 对原有文件进行修改

#---分隔符，也可以用其他字符替代，如@

（2）过滤

sed -n '/过滤的内容/处理的命令' file -n 取消sed的默认输出常用的处理指令 p---打印 d---删除