「CentOS7操作系统安全加固系列」第(5)篇

1、更改主机解析地址的顺序

规则描述

1、检查是否设置首先通过DNS解析IP地址,然后通过hosts文件解析。

2、检查设置检测是否'/etc/hosts'文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。

3、检查是否设置说明要注意对本机未经许可的IP欺骗。

审计描述:检查文件/etc/host.conf,看是否存在如下内容:
order hosts,bind

multi on

nospoof on

修改建议:在文件/etc/host.conf中修改或添加如下内容:
order hosts,bind

multi on

nospoof on

检测用例信息:检查文件中是否存在order hosts,bind:

egrep -v '^\s*#'  /etc/host.conf | egrep  -i '^\s*order\s*hosts\s*'

2、历史命令设置

规则描述:历史命令设置

审计描述:编辑文件/etc/profile查看是否存在如下内容:
HISTFILESIZE=5
HISTSIZE=5

修改建议:在文件/etc/profile中修改添加如下配置:
HISTFILESIZE=5
HISTSIZE=5

检测用例信息

1)检查文件中是否存在HISTFILESIZE配置:

cat /etc/profile|grep -v '^\s*#'|grep 'HISTFILESIZE\s*=' | tail -1

HISTFILESIZE的值小于等于5

2)检查文件中是否存在HISTSIZE配置:

cat /etc/profile|grep -v '^\s*#'|grep 'HISTSIZE\s*=' | tail -1

HISTSIZE的值小于等于5

解决办法:

sed -i 's/HISTSIZE=1000/HISTSIZE=5/g' /etc/profileecho -e '\nHISTFILESIZE=5' >> /etc/profile

3、加固内核参数

1)禁止ICMP重定向

规则描述:禁止ICMP重定向

审计描述:禁止ICMP重定向,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.conf.all.accept_redirects参数,值为0合规

执行命令:1.sysctl net.ipv4.conf.all.accept_redirects ;

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniq

修改建议:设置配置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.accept_redirects=0, 执行命令sysctl -p重新加载配置文件使其生效

2)禁止IP路由转发

规则描述:禁止IP路由转发

审计描述:检查系统是否禁用IP路由转发功能,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.ip_forward参数,值为0表示合规,

执行命令: 1.sysctl net.ipv4.ip_forward 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniq

3)禁止IP源路由

规则描述:禁止IP源路由

审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/参数accept_source_route值均为0合规,

执行命令:

1.sysctl net.ipv4.conf.all.accept_source_route
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v'^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq
3.sysctl net.ipv4.conf.default.accept_source_route
4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniq

修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的以下参数:net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

执行命令:sysctl -p 重新加载配置文件,使其生效

4)确保忽略广播的ICMP请求

规则描述:系统忽略所有广播和多播地址的ICMP回显和时间戳记请求,把配置文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts的参数设置为1

审计描述:检查系统是否开启忽略广播ICMP请求功能,检查文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts参数,值为1表示合规,

执行命令:

1.sysctl net.ipv4.icmp_echo_ignore_broadcasts

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniq

修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数为:net.ipv4.icmp_echo_ignore_broadcasts = 1,执行命令:sysctl -p 加载配置文件,使该策略项生效

5)检查可疑数据包是否被记录

规则描述:开启功能后,将不可发送源地址的数据包记录到内核日志

审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.conf.all.log_martians和net.ipv4.conf.default.log_martians,值为1表示合规,

执行命令:

1.sysctl net.ipv4.conf.all.log_martians

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians'
3.sysctl net.ipv4.conf.default.log_martians

4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians'

修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.log_martians=1 和 net.ipv4.conf.default.log_martians=1,执行命令:sysctl -p重新加载配置文件使策略项生效

6)打开syncookie缓解syn flood攻击

规则描述:打开syncookie缓解syn flood攻击

审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.tcp_syncookies,值为1表示合规,

执行命令:

1.sysctl net.ipv4.tcp_syncookies

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq

修改建议:修改文件/etc/sysctl.conf或/etc/sysctl.d/*的参数net.ipv4.tcp_syncookies = 1,执行命令sysctl -p 重新加载配置文件,使其生效

#禁止ICMP重定向echo 'net.ipv4.conf.all.accept_redirects = 0 ' >> /etc/sysctl.conf #禁止IP路由转发echo 'net.ipv4.ip_forward = 0 ' >> /etc/sysctl.conf#禁止IP源路由echo 'net.ipv4.conf.all.accept_source_route = 0 '  >> /etc/sysctl.confecho 'net.ipv4.conf.default.accept_source_route = 0 '  >> /etc/sysctl.conf#确保忽略广播的ICMP请求echo 'net.ipv4.icmp_echo_ignore_broadcasts = 1'  >> /etc/sysctl.conf#检查可疑数据包是否被记录echo 'net.ipv4.conf.all.log_martians=1 '  >> /etc/sysctl.confecho 'net.ipv4.conf.default.log_martians=1'  >> /etc/sysctl.conf#打开syncookie缓解syn flood攻击echo 'net.ipv4.tcp_syncookies  = 1 ' >> /etc/sysctl.conf
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians' cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians' cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq

sysctl -p生效

或者sysctl -p /etc/sysctl.conf加载sysctl.conf文件中设置的内核参数

验证

其它内核安全建议

  1. net.ipv4.icmp_echo_ignore_all:忽略ICMP请求。出于安全考虑,建议开启此项(当前默认值为0,开启将值设为1)。但开启后会忽略所有接收到的icmp echo请求的包(会导致机器无法ping通),建议用户根据实际组网场景决定是否开启此项。
  2. net.ipv4.conf.all.log_martians/net.ipv4.conf.default.log_martians:对于仿冒/源路由/重定向数据包开启日志记录。出于安全考虑,建议开启此项(当前默认值为0,开启将值设为1)。但是开启后会记录带有不允许的地址的数据到内核日志中,存在冲日志风险,建议用户根据实际使用场景决定是否开启此项。
  3. net.ipv4.tcp_timestamps:关闭tcp_timestamps。出于安全考虑,建议关闭tcp_timestamps(当前默认值为1,关闭将值设为0)。但是关闭此项会影响TCP超时重发的性能,建议用户根据实际使用场景决定是否关闭此项。
  4. net.ipv4.tcp_max_syn_backlog:决定了SYN_RECV状态队列的数量。该参数决定了SYN_RECV状态队列的数量,超过这个数量,系统将不再接受新的TCP连接请求,一定程度上可以防止系统资源耗尽。建议由用户根据实际使用场景配置合适的值。
(0)

相关推荐