国际标准-CentOS 7安全基线检查Level1:禁用SCTP

SCTP是一种传输层协议，用于支持面向消息的通信，一个连接中有多个消息流。它兼有TCP和UDP的功能。它像UDP一样是面向消息的，并通过诸如TCP的拥塞控制来确保可靠的消息顺序传输。
通过添加 install sctp /bin/true 到 /etc/modprobe.d/CIS.conf 文件中，你实际上在告诉系统：每当有任何进程尝试加载SCTP模块时，都应该运行 /bin/true 命令而不是真正加载该模块。因为 /bin/true 仅仅返回一个成功的退出状态并不执行任何其他动作，这实际上阻止了SCTP模块的加载。
下面是如何做到这一点的具体步骤：
1.使用你喜欢的文本编辑器打开或创建文件。例如，使用 nano:

sudo nano /etc/modprobe.d/CIS.conf

2.在文件中添加或确保存在以下行:

install sctp /bin/true

3.保存并关闭文件。
4.为了确保该配置生效并卸载当前可能已经加载的SCTP模块（如果已加载），你可以运行：

sudo modprobe -r sctp

5.为了测试配置是否正确，尝试手动加载SCTP模块：

sudo modprobe sctp

你应该看不到任何输出，且 lsmod | grep sctp 不应返回任何结果，表明SCTP模块没有被加载。
这种方法可以确保在不重启系统的情况下，SCTP模块不会被意外加载。如果你确定永远不会需要SCTP模块，你也可以从系统中完全删除相关的内核模块，但这通常不是建议的做法，因为将来的内核更新或软件包安装可能会重新安装它。