「CentOS7操作系统安全加固系列」第(5)篇
1、更改主机解析地址的顺序
规则描述:
1、检查是否设置首先通过DNS解析IP地址,然后通过hosts文件解析。
2、检查设置检测是否'/etc/hosts'文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
3、检查是否设置说明要注意对本机未经许可的IP欺骗。
审计描述:检查文件/etc/host.conf,看是否存在如下内容:
order hosts,bind
multi on
nospoof on
修改建议:在文件/etc/host.conf中修改或添加如下内容:
order hosts,bind
multi on
nospoof on
检测用例信息:检查文件中是否存在order hosts,bind:
egrep -v '^\s*#' /etc/host.conf | egrep -i '^\s*order\s*hosts\s*'
2、历史命令设置
规则描述:历史命令设置
审计描述:编辑文件/etc/profile查看是否存在如下内容:
HISTFILESIZE=5
HISTSIZE=5
修改建议:在文件/etc/profile中修改添加如下配置:
HISTFILESIZE=5
HISTSIZE=5
检测用例信息:
1)检查文件中是否存在HISTFILESIZE配置:
cat /etc/profile|grep -v '^\s*#'|grep 'HISTFILESIZE\s*=' | tail -1
HISTFILESIZE的值小于等于5
2)检查文件中是否存在HISTSIZE配置:
cat /etc/profile|grep -v '^\s*#'|grep 'HISTSIZE\s*=' | tail -1
HISTSIZE的值小于等于5
解决办法:
sed -i 's/HISTSIZE=1000/HISTSIZE=5/g' /etc/profileecho -e '\nHISTFILESIZE=5' >> /etc/profile
3、加固内核参数
1)禁止ICMP重定向
规则描述:禁止ICMP重定向
审计描述:禁止ICMP重定向,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.conf.all.accept_redirects参数,值为0合规
执行命令:1.sysctl net.ipv4.conf.all.accept_redirects ;
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniq
修改建议:设置配置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.accept_redirects=0, 执行命令sysctl -p重新加载配置文件使其生效
2)禁止IP路由转发
规则描述:禁止IP路由转发
审计描述:检查系统是否禁用IP路由转发功能,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.ip_forward参数,值为0表示合规,
执行命令: 1.sysctl net.ipv4.ip_forward 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniq
3)禁止IP源路由
规则描述:禁止IP源路由
审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/参数accept_source_route值均为0合规,
执行命令:
1.sysctl net.ipv4.conf.all.accept_source_route
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v'^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq
3.sysctl net.ipv4.conf.default.accept_source_route
4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniq
修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的以下参数:net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
执行命令:sysctl -p 重新加载配置文件,使其生效
4)确保忽略广播的ICMP请求
规则描述:系统忽略所有广播和多播地址的ICMP回显和时间戳记请求,把配置文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts的参数设置为1
审计描述:检查系统是否开启忽略广播ICMP请求功能,检查文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts参数,值为1表示合规,
执行命令:
1.sysctl net.ipv4.icmp_echo_ignore_broadcasts
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniq
修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数为:net.ipv4.icmp_echo_ignore_broadcasts = 1,执行命令:sysctl -p 加载配置文件,使该策略项生效
5)检查可疑数据包是否被记录
规则描述:开启功能后,将不可发送源地址的数据包记录到内核日志
审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.conf.all.log_martians和net.ipv4.conf.default.log_martians,值为1表示合规,
执行命令:
1.sysctl net.ipv4.conf.all.log_martians
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians'
3.sysctl net.ipv4.conf.default.log_martians
4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians'
修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.log_martians=1 和 net.ipv4.conf.default.log_martians=1,执行命令:sysctl -p重新加载配置文件使策略项生效
6)打开syncookie缓解syn flood攻击
规则描述:打开syncookie缓解syn flood攻击
审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.tcp_syncookies,值为1表示合规,
执行命令:
1.sysctl net.ipv4.tcp_syncookies
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq
修改建议:修改文件/etc/sysctl.conf或/etc/sysctl.d/*的参数net.ipv4.tcp_syncookies = 1,执行命令sysctl -p 重新加载配置文件,使其生效
#禁止ICMP重定向echo 'net.ipv4.conf.all.accept_redirects = 0 ' >> /etc/sysctl.conf #禁止IP路由转发echo 'net.ipv4.ip_forward = 0 ' >> /etc/sysctl.conf#禁止IP源路由echo 'net.ipv4.conf.all.accept_source_route = 0 ' >> /etc/sysctl.confecho 'net.ipv4.conf.default.accept_source_route = 0 ' >> /etc/sysctl.conf#确保忽略广播的ICMP请求echo 'net.ipv4.icmp_echo_ignore_broadcasts = 1' >> /etc/sysctl.conf#检查可疑数据包是否被记录echo 'net.ipv4.conf.all.log_martians=1 ' >> /etc/sysctl.confecho 'net.ipv4.conf.default.log_martians=1' >> /etc/sysctl.conf#打开syncookie缓解syn flood攻击echo 'net.ipv4.tcp_syncookies = 1 ' >> /etc/sysctl.conf
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians' cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians' cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq
sysctl -p生效
或者sysctl -p /etc/sysctl.conf加载sysctl.conf文件中设置的内核参数
验证
其它内核安全建议
- net.ipv4.icmp_echo_ignore_all:忽略ICMP请求。出于安全考虑,建议开启此项(当前默认值为0,开启将值设为1)。但开启后会忽略所有接收到的icmp echo请求的包(会导致机器无法ping通),建议用户根据实际组网场景决定是否开启此项。
- net.ipv4.conf.all.log_martians/net.ipv4.conf.default.log_martians:对于仿冒/源路由/重定向数据包开启日志记录。出于安全考虑,建议开启此项(当前默认值为0,开启将值设为1)。但是开启后会记录带有不允许的地址的数据到内核日志中,存在冲日志风险,建议用户根据实际使用场景决定是否开启此项。
- net.ipv4.tcp_timestamps:关闭tcp_timestamps。出于安全考虑,建议关闭tcp_timestamps(当前默认值为1,关闭将值设为0)。但是关闭此项会影响TCP超时重发的性能,建议用户根据实际使用场景决定是否关闭此项。
- net.ipv4.tcp_max_syn_backlog:决定了SYN_RECV状态队列的数量。该参数决定了SYN_RECV状态队列的数量,超过这个数量,系统将不再接受新的TCP连接请求,一定程度上可以防止系统资源耗尽。建议由用户根据实际使用场景配置合适的值。