问题描述：

在Linux系统（以CentOS 8为例）中，存在的ICMP timestamp请求响应漏洞（CVE-1999-0524），该漏洞涉及ICMP时间戳请求和回复报文的处理。

15

问题分析：

ICMP时间戳消息包含发送者的始发时间戳、接收时间戳和发送时间戳，这些信息可能被用于开发其他服务中基于时间的弱随机数发生器，尽管其风险级别被认为是低的。然而，为了系统安全，仍需对此类ICMP报文进行适当处理。

解决方案：

对于使用firewalld作为防火墙管理工具的系统，可以通过以下步骤来禁用ICMP timestamp请求和回复报文：

1. 查看icmp相关的数据包类型，确认timestamp-reply和timestamp-request的存在。

2. 使用firewall-cmd命令永久添加规则，阻塞public区域中的timestamp-reply和timestamp-request报文。

3. 重新加载firewalld配置，使规则生效。

4.确认当前 public 区域的 ICMP 规则是否已应用。

具体命令如下：

firewall-cmd --get-icmptypes

ll -Z /etc/firewalld/icmptypes

firewall-cmd --permanent --zone=public --add-icmp-block=timestamp-reply

firewall-cmd --permanent --zone=public --add-icmp-block=timestamp-request

firewall-cmd --reload

firewall-cmd --list-all --zone=public

通过以上步骤，可以有效地在firewalld中禁用ICMP timestamp请求和回复报文，提升系统的安全性。