北京移动网络运行支撑中心系统安全加固与服务项目-HPECommunity

1、系统安全加固手册系统安全加固手册1 帐户安全配置要求1.1 创建 /etc/sh ad o w 影子口令文件配置项名设置影子口令模式称执行：检查方法#more /etc/shadow查看是否存在该文件1、执行备份：#cp p /etc/passwd /etc/passwd_bak操作步骤2、切换到影子口令模式：#pwconv执行：回退操作#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1. 2 建立多帐户组，将用户账号分配到相应的帐户组配置项名建立多帐户组，将用户账号分配到相应的帐户组称1、执行

2、：#more /etc/group检查方法#more /etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户1、执行备份：操作步骤#cp p /etc/group /etc/group_bak我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司- 2 -Http:/系统安全加固手册2、修改用户所属组：# usermod ggroupusername执行：回退操作#cp /etc/group_bak /etc/group风险说明修改用户所属组可能导致某些应用无法正常运行1. 3 删除或锁定可能无用的帐户配置项名删除或锁定可能无用的帐户称1、执行：#more

3、/etc/passwd检查方法查看是否存在以下可能无用的帐户：hpsmh、 named、uucp、nuucp、 adm、daemon、 bin、 lp2、与管理员确认需要锁定的帐户1、执行备份：#cp p /etc/passwd /etc/passwd_bak操作步骤2、锁定无用帐户：#passwd -l username执行：回退操作#cp /etc/passwd_bak /etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行1. 4 删除可能无用的用户组配置项名删除可能无用的用户组称1、执行：检查方法#more /etc/group查看是否存在以下可能无用的用户组：lp n

4、uucp nogroup我们为客户交付安全 IT 运行能力- 3 -神州泰岳软件股份有限公司Http:/系统安全加固手册2、与管理员确认需要删除的用户组1、执行备份：#cp p /etc/group /etc/group_bak操作步骤2、删除无用的用户组：#groupdel groupname执行：回退操作#cp /etc/group_bak /etc/group风险说明删除某些组可能导致某些应用无法正常运行1. 5 检查是否存在空密码的帐户配置项名检查是否存在空密码的帐户称执行下列命令，检查是否存在空密码的帐户检查方法logins p应无回结果1、执行备份：#cp p /etc/passw

5、d /etc/passwd_bak操作步骤#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用 passwd命令设置复杂密码#passwd lusername执行：回退操作#cp p /etc/passwd_bak /etc/passwd#cp -p /etc/shadow_bak /etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行1. 6 设置口令策略满足复杂度要求配置项名设置口令策略满足复杂度要求称检查方法1、执行下列命令，检查是否存在空密码的帐户#logins p我们为客户交付安全 IT 运行能力- 4 -神州泰岳软件股份有限公

6、司Http:/系统安全加固手册应无返回结果2、执行：#more /etc/default/security检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=11、执行备份：#cp p /etc/default/security /etc/default/security_bak #cp p /etc/passwd /etc/passwd_bak

7、2、执行下列命令，编辑/etc/default/security#vi /etc/default/security操作步骤修改以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1执行：回退操作#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd

8、风险说明可能导致非root 用户修改自己的密码时多次不成功1. 7 设置帐户口令生存周期配置项名设置帐户口令生存周期称执行：检查方法#more /etc/default/security我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司- 5 -Http:/系统安全加固手册查看是否存在以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=281、执行备份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak操作步骤2、执行下列命令，编辑

9、 /etc/default/security#vi /etc/default/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28执行：回退操作#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能在密码过期后影响正常使用及维护1. 8 设定密码历史，不能重复使用最近 5 次（含 5 次）内已使用的口令配置项名应配置设备， 使用户不能重复使用最近5 次（含 5 次）内已使用的口令称执行：#more /etc/def

10、ault/security检查方法查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=51、执行备份：#cp p /etc/default/security /etc/default/security_bak操作步骤#cp p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑 /etc/default/security#vi /etc/default/security我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司- 6 -Http:/系统安全加固手册修改以下参数：PASSWORD_HISTORY_DEPTH=5执行：回退操作#cp /etc

11、/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明低风险1. 9 限制 ro o t 用户远程登录配置项名root 用户远程登录限制称执行：#more /etc/securetty检查是否有下列行：检查方法Console执行：#more /opt/ssh/etc/sshd_config检查是否有 PermitRootLogin no1、执行备份：#cp p /etc/securetty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_config /

12、opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useraddusername操作步骤#passwd username3、禁止 root 用户远程登录系统：#vi /etc/securetty去掉 console前面的注释，保存退出#vi /opt/ssh/etc/sshd_config将 PermitRootLogin 后的 yes 改为 no回退操作执行：我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司- 7 -Http:/系统安全加固手册#cp /etc/securetty_bak /etc/securetty#cp -p /opt/

13、ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config严重改变维护人员操作习惯， 必须新建一个能够执行交互式登录的普通风险说明用户并能够通过su 提升权限，可能带来新的威胁1.10检查 pass w d、 gro u p 文件权限设置配置项名检查 passwd、group 文件权限设置称执行：检查方法#ls l/etc/passwd /etc/group1、执行备份：#cp p /etc/passwd /etc/passwd_bak#cp p /etc/group /etc/group_bak操作步骤2、修改文件权限：#chmod 644 /etc/p

14、asswd#chmod 644 /etc/group执行：回退#cp /etc/passwd_bak /etc/passwd#cp /etc/group_bak /etc/group权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异风险说明常1.11删除帐户目录下的 .n etrc /.rh o sts /.sh o sts 文件配置项名删除帐户目录下的 .netrc/.rhosts/.shosts文件称执行下列命令，检查帐户目录下是否存在.netrc/.rhosts/.shosts文件检查方法# logins -ox | cut -f6 -d: | grep /home/ | w

15、hile read dir; do ls -a $dir ;done操作步骤1、执行备份：我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司- 8 -Http:/系统安全加固手册使用 cp 命令备份 .netrc/.rhosts/.shosts文件2、删除文件：使用 rm -f 命令删除 .netrc/.rhosts/.shosts文件回退操作使用 cp 命令恢复被删除的 .netrc/.rhosts/.shosts文件风险说明可能影响需要使用远程连接的应用1.12系统 um ask 设置配置项名系统 umask设置称执行：检查方法#more /etc/profile检查系统 umask

16、 值1、执行备份：#cp -p /etc/profile /etc/profile_bak操作步骤2、修改 umask设置：#vi /etc/profile将 umask 值修改为 027，保存退出执行：回退操作#cp /etc/profile_bak /etc/profileumask 设置不当可能导致某些应用无法正确自动创建目录或文件，从而风险说明运行异常2 访问、认证安全配置要求2.1 远程登录取消 teln et 采用 ssh配置项名远程登录取消telnet 采用ssh称检查方法查看SSH、telnet 服务状态：我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司- 9 -Htt

17、p:/操作步骤回退操作风险说明系统安全加固手册#ps elf | grep ssh#ps elf | grep telnetSSH 服务状态查看结果为： onlinetelnet 服务状态查看结果为： disabled1、备份 #cp p /etc/inetd.conf /etc/inetd.conf_bak2、修改 /etc/inetd.conf 文件，将 telnet 行注释掉 #telnet stream tcp nowait root /usr/lbin/telnetd telnetd3、安装 ssh软件包，通过 #/opt/ssh/sbin/sshd start来启动 SSH。执行：

18、#cp p /etc/inetd.conf_bak /etc/inetd.conf启动 telnet#/usr/lbin/telnetd start停止 SSH#/opt/ssh/sbin/sshd stop影响维护人员操作习惯，需要重启服务2. 2 限制系统帐户 FTP 登录配置项名限制 root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、称useradm等系统帐户 FTP 登录执行：检查方法#cat /etc/ftpd/ftpusers查看具体的禁止 FTP 登陆系统的用户名单1、执行备份：#cp -p /etc/ftpd/ftpusers

19、/etc/ftpd/ftpusers_bak操作步骤2、禁止用户 FTP 登录系统：#vi /etc/ftpd/ftpusers每一个帐户一行，添加以下帐户禁止 FTP 登录root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作执行：我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-10-Http:/系统安全加固手册#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers风险说明禁止某些帐户登录FTP 可能导致某些应用无法正常运行2. 3 配置允许访问 in etd 服务的 IP 范围

20、或主机名配置项名配置允许访问 inetd 服务的 IP 范围或主机名称执行：检查方法#cat /var/adm/inetd.sec查看有无类似配置1、执行备份：#cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak2、添加允许访问inetd 服务的 IP 范围或主机名：操作步骤#vi /var/adm/inetd.sec按照如下格式添加IP 范围或主机名service name allow | deny hostaddrs | hostnames |netaddrs | netnames 执行：回退操作#cp /var/adm/inetd.sec_ba

21、k /var/adm/inetd.sec风险说明需确认 IP 信任范围，设置不当会导致网络服务通信异常2.4 禁止除 r oo t 外帐户使用 at/c ro n配置项名禁止除 root 外帐户使用 at/cron称执行：# cd /var/adm/cron#cat cron.allow检查方法#cat at.allow查看是否存在 root；执行：#cat cron.deny我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-11-Http:/操作步骤回退操作风险说明系统安全加固手册#cat at.deny检查是否存在 cron.deny和 at.deny 文件，若存在，应删除。1、执

22、行备份# cd /var/adm/cron#cp -p cron.deny cron.deny_bak#cp -p at.deny at.deny_bak#cp -p cron.allow cron.allow_bak#cp -p at.allow at.allow _bak2、添加 root 到 cron.allow 和 at.allow ，并删除 cron.deny 和 at.deny。 #cd /var/adm/cron#rm -f cron.deny at.deny#echo root cron.allow#echo root at.allow#chown root:sys cron.

23、allow at.allow#chmod 400 cron.allow at.allow# cd /var/adm/cron#cp -p cron.deny_bak cron.deny#cp -p at.deny_bak at.deny#cp -p cron.allow_bak cron.allow#cp -p at.allow_bak at.allow除 root 外帐户不能使用at/cron，可能影响某些应用。2. 5 设定连续认证失败次数超过 6 次（不含 6 次）锁定该账号配置项名配置当用户连续认证失败次数超过6 次（不含 6 次），锁定该用户使用称的账号。执行：检查方法#cat /e

24、tc/default/security检查是否存在 AUTH_MAXTRIES=61、执行备份操作步骤#cp -p /etc/default/security /etc/default/security_bak2、执行下列命令，设置最大登录认证重试次数锁定帐户为6 次echo AUTH_MAXTRIES=6 /etc/default/security我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-12-Http:/系统安全加固手册回退操作#cp -p /etc/default/security_bak /etc/default/security风险说明root 账号也在锁定的限制范围

25、内，一旦root 被锁定，就需要光盘引导，因此该配置要慎用。3 文件系统安全配置要求3. 1 重要目录和文件的权限设置配置项名重要目录和文件的权限设置称执行以下命令检查目录和文件的权限设置情况：#ls l/etc/检查方法#ls l/tmp/#ls l/etc/default/#ls -l /etc/rc.config.d/1、执行备份：操作步骤使用 cp 命令备份需要修改权限的文件或目录2、权限修改：使用 chmod 命令修改文件或目录权限回退操作使用 cp 命令恢复被修改权限的文件或目录或使用 chmod 命令恢复权限风险说明修改某些重要的配置文件的权限可能导致系统功能或应用异常3. 2

26、检查没有所有者的文件或目录配置项名检查没有所有者的文件或目录称执行：检查方法#find / ( -nouser -o -nogroup ) -exec ls -al ;咨询管理员找到的文件或目录是否应用所需操作步骤1、执行备份：我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-13-Http:/系统安全加固手册使用 cp 命令备份没有所有者的文件或目录2、使用 chmod 命令添加属主或删除没有所有者的文件或目录：#rm rf filename回退操作使用 cp 命令恢复被删除的没有所有者的文件或目录风险说明执行检查会大量消耗系统资源，需要确认无所有者的文件的具体用途4 网络服务安全配

27、置要求4. 1 禁止 NIS/NIS+服务以守护方式运行配置项名称检查方法操作步骤回退操作风险说明禁止 NIS/NIS+ 服务以守护方式运行Network Information System执行：查看该文件中是否存在以下参数：NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=01、执行备份：2、编辑文件，设置参数：NIS/NIS+ 服务无法自动启动我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-14-Http:/系统安全加固手册4. 2 禁用打印服务以守护方式运行配置项名禁

28、止打印服务以守护方式运行称执行：查看该文件中是否存在XPRINTSERVERS=检查方法查看该文件中是否存在LP=0查看该文件中是否存在PD_CLIENT=01、执行备份：操作步骤2、设置参数：回退操作风险说明打印服务无法自动启动4. 3 禁用 SENDMAIL 服务以守护方式运行配置项名禁止 SENDMAIL 服务以守护方式运行称执行：检查方法#more /etc/rc.config.d/mailservs查看该文件中是否存在 SENDMAIL_SERVER=0操作步骤1、执行备份：我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-15-Http:/系统安全加固手册#cp -p /v

29、ar/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak2、设置参数：#cd /var/spool/cron/crontabs#crontab -l root.tmp#echo 0 * * * * /usr/lib/sendmail -q root.tmp#crontab root.tmp#rm -f root.tmp回退操作#cp -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak风险说明导致无法收发邮件，需确认服务器用途4. 4 禁用不必要的标

30、准启动服务配置项名禁用不必要的标准启动服务称检查 SNAplus2 服务，执行：查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0 、START_SNAINETD=0检查多播路由服务，执行：检查方法查看 该文 件 中 是 否存 在MROUTED=0 、 RWHOD=0 、 DDFA=0 、START_RBOOTD=0检查 DFS 分布式文件系统服务，执行：查 看 该 文 件 中 是 否 存 在DCE_KRPC=0 、 DFS_CORE=0 、DFS_CLIENT=0 、DFS_SERVER=0、 DFS_EPISODE=0、 EPIINIT=0 、DFSEXPO

31、RT=0 、 BOSSERVER=0 、 DFSBIND=0、 FXD=0 、我们为客户交付安全 IT 运行能力-16-神州泰岳软件股份有限公司Http:/系统安全加固手册MEMCACHE=0 、DFSGWD=0 、DISKCACHEFORDFS=0检查逆地址解析服务，执行：查看该文件中是否存在RARPD=0、RDPD=0检查响应 PTY （伪终端）请求守护进程，执行：查看该文件中是否存在PTYDAEMON_START=0检查响应 VT （通过 LAN 登录其他系统）请求守护进程，执行：查看该文件中是否存在VTDAEMON_START=0检查域名守护进程服务，执行：查看该文件中是否存在NAME

32、D=0检查 SNMP 代理进程服务，执行：查看该文件中是否存在PEER_SNMPD_START=0检查授权管理守护进程服务，执行：查看该文件中是否存在START_I4LMD=0检查 SNAplus2 服务，执行：查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0 、START_SNAINETD=0检查 X 字体服务，执行：查看该文件中是否存在 RUN_X_FONT_SERVER=0 检查语音服务，执行：查看该文件中是否存在AUDIO_SERVER=0我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-17-Http:/系统安全加固手册检查 SLSD（Sin

33、gle-Logical-Screen-Daemon）服务，执行：查看该文件中是否存在SLSD_DAEMON=0检查 SAMBA 服务，执行：查看该文件中是否存在RUN_SAMBA=0检查 CIFS 客户端服务，执行：查看该文件中是否存在RUN_CIFSCLIENT=0检查 NFS 启动服务，执行：查看该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0检查 Netscape FastTrack Server服务，执行：查看该文件中是否存在NS_FTRACK=0检查 APACHE 服务，执行：查看该文件中是否存在APACHE_START=0检查基于 RPC 的服务，执行：#ls /

34、sbin/rc2.d/.NOS400nfs.core查看是否存在该文件1、执行备份：使用 cp 命令备份需要修改的文件2、设置参数：执行下列命令，禁用SNAplus2 服务操作步骤#ch_rc-a-pSTART_SNAPLUS=0-pSTART_SNANODE=0-p执行下列命令，禁用多播路由服务#ch_rc-a-pMROUTED=0-pRWHOD=0-pDDFA=0-p我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-18-Http:/系统安全加固手册执行下列命令，禁用DFS 分布式文件系统服务执行下列命令，禁用逆地址解析服务执行下列命令，禁用响应PTY（伪终端）请求守护进程执行下列

35、命令，禁用响应VT （通过 LAN 登录其他系统）请求守护进程执行下列命令，禁用域名守护进程执行下列命令，禁用SNMP 代理进程执行下列命令，禁用授权管理守护进程执行下列命令，禁用 X 字体服务执行下列命令，禁用语音服务执行下列命令，禁用SLSD（Single-Logical-Screen-Daemon）服务执行下列命令，禁用SAMBA 服务执行下列命令，禁用 CIFS 客户端服务执行下列命令，禁用 NFS 服务执行下列命令，禁用 Netscape FastTrack Server服务执行下列命令，禁用 APACHE 服务我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-19-Http

36、:/系统安全加固手册执行下列命令，禁用基于 RPC 的服务#mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core回退操作使用 cp 命令恢复被修改的文件风险说明禁用服务会影响某些应用运行4. 5 禁用不必要的 in etd 服务配置项名inetd 中基本网络服务配置称执行：检查方法#more /etc/inetd.conf检查基本的网络服务的开启或禁止情况1、执行备份：#cp p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要服务：操作步骤#vi /etc/inetd.conf在非必要服务前面

37、加 #注释3、重新启动 inetd：#/sbin/init.d/inetd stop|start执行：回退操作#cp /etc/inetd.conf_bak /etc/inetd.conf#/sbin/init.d/inetd stop|start风险说明关闭某些网络服务可能导致应用出现问题，重启inetd 服务可能导致业务中断我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-20-Http:/系统安全加固手册5 IP 协议安全配置要求5. 1关闭IP转发配置项名关闭 IP 转发称执行：检查方法操作步骤#ndd -get /dev/ip ip_forwarding查看是否关闭 IP 转

38、发，返回值应为01、执行备份记录需要修改的可调参数值、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_forwarding 0建立启动项，使参数重启后永久生效：#cat nddconf# Dont ip forwarding TRANSPORT_NAME0=ip NDD_NAME0= ip_forwarding NDD_VALUE0=0EOF1、使用 ndd -set恢复修改前的参数回退操作2、执行：风险说明可能导致路由错误，无法通信。我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-21-Http:/系统安全加固手册5. 2 关闭转发源

39、路由包配置项名称检查方法操作步骤关闭转发源路由包执行：#ndd -get /dev/ip ip_forward_src_routed查看是否关闭转发源路由包，返回值应为01、执行备份记录需要修改的可调参数值、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_forward_src_routed 0建立启动项，使参数重启后永久生效：#cat nddconf# Drop source-routed packets TRANSPORT_NAME1=ip NDD_NAME1=ip_forward_src_routed NDD_VALUE1=0EOF1、使用

40、 ndd -set恢复修改前的参数回退操作2、执行：风险说明可能导致路由错误，无法通信。5. 3 增大最大半连接数防范 SYN 攻击配置项名增大最大半连接数称我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-22-Http:/检查方法操作步骤系统安全加固手册执行：# ndd -get /dev/tcp tcp_syn_rcvd_max查看返回值应最小为40961、执行备份记录需要修改的可调参数值、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/tcp tcp_syn_rcvd_max 4096建立启动项，使参数重启后永久生效：#cat nddconf

41、# Increase size of half-open connection queue TRANSPORT_NAME2=tcp NDD_NAME2=tcp_syn_rcvd_max NDD_VALUE2=4096EOF1、使用 ndd -set恢复修改前的参数回退操作2、执行：风险说明可能影响网络应用5.4 关闭 ICMP 重定向配置项名关闭 ICMP 重定向称执行：检查方法#ndd -get /dev/ip ip_send_redirects查看是否关闭 ICMP 重定向，返回值应为 0我们为客户交付安全IT 运行能力神州泰岳软件股份有限公司-23-Http:/系统安全加固手册1、执行备

42、份记录需要修改的可调参数值、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_send_redirects 0建立启动项，使参数重启后永久生效：操作步骤#cat nddconf# Dont send ip redirects TRANSPORT_NAME3=ip NDD_NAME3= ip_send_redirects NDD_VALUE3=0EOF1、使用 ndd -set恢复修改前的参数回退操作2、执行：风险说明可能导致路由错误，无法通信。5. 5 关闭响应 ech o 广播配置项名关闭响应 echo 广播称执行：#ndd -get /dev/ip ip_forward_directed_broadcasts检查方法#ndd -get /dev/ip ip_respond_to_echo_broadcast查看是否关闭 IP 转发，返回值应为01、执行备份操作步骤记录需要修改的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak我们为客户交付安全 IT 运行能力-24-神州泰岳软件股份有限公司Http:/系统安全加固手册2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#