【CentOS7操作系统安全加固系列】第(5)篇

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 【CentOS7操作系统安全加固系列】第(5)篇

640.jpg

1、更改主机解析地址的顺序


规则描述

1、检查是否设置首先通过DNS解析IP地址,然后通过hosts文件解析。


2、检查设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。


3、检查是否设置说明要注意对本机未经许可的IP欺骗。


审计描述:检查文件/etc/host.conf,看是否存在如下内容:

order hosts,bind

multi on

nospoof on


修改建议:在文件/etc/host.conf中修改或添加如下内容:

order hosts,bind

multi on

nospoof on

检测用例信息:检查文件中是否存在order hosts,bind:


egrep -v "^\s*#"  /etc/host.conf | egrep  -i "^\s*order\s*hosts\s*"


640.png

640.png


2、历史命令设置


规则描述:历史命令设置


审计描述:编辑文件/etc/profile查看是否存在如下内容:

HISTFILESIZE=5

HISTSIZE=5


修改建议:在文件/etc/profile中修改添加如下配置:

HISTFILESIZE=5

HISTSIZE=5


检测用例信息

1)检查文件中是否存在HISTFILESIZE配置:

cat /etc/profile|grep -v "^\s*#"|grep "HISTFILESIZE\s*=" | tail -1

HISTFILESIZE的值小于等于5

2)检查文件中是否存在HISTSIZE配置:

cat /etc/profile|grep -v "^\s*#"|grep "HISTSIZE\s*=" | tail -1

HISTSIZE的值小于等于5


解决办法:


sed -i "s/HISTSIZE=1000/HISTSIZE=5/g" /etc/profile
echo -e "\nHISTFILESIZE=5" >> /etc/profile

640.png


3、加固内核参数


1)禁止ICMP重定向


规则描述:禁止ICMP重定向

审计描述:禁止ICMP重定向,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.conf.all.accept_redirects参数,值为0合规

执行命令:1.sysctl net.ipv4.conf.all.accept_redirects ;

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep "net.ipv4.conf.all.accept_redirects" | uniq

修改建议:设置配置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.accept_redirects=0, 执行命令sysctl -p重新加载配置文件使其生效


2)禁止IP路由转发


规则描述:禁止IP路由转发

审计描述:检查系统是否禁用IP路由转发功能,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.ip_forward参数,值为0表示合规,

执行命令: 1.sysctl net.ipv4.ip_forward 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep "net.ipv4.ip_forward" | uniq


3)禁止IP源路由


规则描述:禁止IP源路由

审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/参数accept_source_route值均为0合规,

执行命令:


1.sysctl net.ipv4.conf.all.accept_source_route

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v'^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq

3.sysctl net.ipv4.conf.default.accept_source_route

4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniq


修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的以下参数:net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

执行命令:sysctl -p 重新加载配置文件,使其生效


4)确保忽略广播的ICMP请求


规则描述:系统忽略所有广播和多播地址的ICMP回显和时间戳记请求,把配置文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts的参数设置为1


审计描述:检查系统是否开启忽略广播ICMP请求功能,检查文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts参数,值为1表示合规,

执行命令:


1.sysctl net.ipv4.icmp_echo_ignore_broadcasts

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s#' | grep "net.ipv4.icmp_echo_ignore_broadcasts" | uniq


修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数为:net.ipv4.icmp_echo_ignore_broadcasts = 1,执行命令:sysctl -p 加载配置文件,使该策略项生效


5)检查可疑数据包是否被记录


规则描述:开启功能后,将不可发送源地址的数据包记录到内核日志

审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.conf.all.log_martians和net.ipv4.conf.default.log_martians,值为1表示合规,

执行命令:

1.sysctl net.ipv4.conf.all.log_martians

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep "net.ipv4.conf.all.log_martians"

3.sysctl net.ipv4.conf.default.log_martians

4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.conf.default.log_martians"


修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.log_martians=1 和 net.ipv4.conf.default.log_martians=1,执行命令:sysctl -p重新加载配置文件使策略项生效


6)打开syncookie缓解syn flood攻击


规则描述:打开syncookie缓解syn flood攻击

审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.tcp_syncookies,值为1表示合规,


执行命令:

1.sysctl net.ipv4.tcp_syncookies

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep "net.ipv4.tcp_syncookies" | uniq


修改建议:修改文件/etc/sysctl.conf或/etc/sysctl.d/*的参数net.ipv4.tcp_syncookies = 1,执行命令sysctl -p 重新加载配置文件,使其生效


#禁止ICMP重定向
echo "net.ipv4.conf.all.accept_redirects = 0 " >> /etc/sysctl.conf 
#禁止IP路由转发
echo "net.ipv4.ip_forward = 0 " >> /etc/sysctl.conf
#禁止IP源路由
echo "net.ipv4.conf.all.accept_source_route = 0 "  >> /etc/sysctl.conf
echo "net.ipv4.conf.default.accept_source_route = 0 "  >> /etc/sysctl.conf
#确保忽略广播的ICMP请求
echo "net.ipv4.icmp_echo_ignore_broadcasts = 1"  >> /etc/sysctl.conf
#检查可疑数据包是否被记录
echo "net.ipv4.conf.all.log_martians=1 "  >> /etc/sysctl.conf
echo "net.ipv4.conf.default.log_martians=1"  >> /etc/sysctl.conf
#打开syncookie缓解syn flood攻击
echo "net.ipv4.tcp_syncookies  = 1 " >> /etc/sysctl.conf


cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.conf.all.accept_redirects" | uniq
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.ip_forward" | uniq
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq 
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniq
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.icmp_echo_ignore_broadcasts" | uniq
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.conf.all.log_martians" 
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.conf.default.log_martians" 
cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep "net.ipv4.tcp_syncookies" | un

640.png


sysctl -p生效  

或者sysctl -p  /etc/sysctl.conf加载sysctl.conf文件中设置的内核参数

验证

640.png

其它内核安全建议


640.png


  1. net.ipv4.icmp_echo_ignore_all:忽略ICMP请求。出于安全考虑,建议开启此项(当前默认值为0,开启将值设为1)。但开启后会忽略所有接收到的icmp echo请求的包(会导致机器无法ping通),建议用户根据实际组网场景决定是否开启此项。
  2. net.ipv4.conf.all.log_martians/net.ipv4.conf.default.log_martians:对于仿冒/源路由/重定向数据包开启日志记录。出于安全考虑,建议开启此项(当前默认值为0,开启将值设为1)。但是开启后会记录带有不允许的地址的数据到内核日志中,存在冲日志风险,建议用户根据实际使用场景决定是否开启此项。
  3. net.ipv4.tcp_timestamps:关闭tcp_timestamps。出于安全考虑,建议关闭tcp_timestamps(当前默认值为1,关闭将值设为0)。但是关闭此项会影响TCP超时重发的性能,建议用户根据实际使用场景决定是否关闭此项。
  4. net.ipv4.tcp_max_syn_backlog:决定了SYN_RECV状态队列的数量。该参数决定了SYN_RECV状态队列的数量,超过这个数量,系统将不再接受新的TCP连接请求,一定程度上可以防止系统资源耗尽。建议由用户根据实际使用场景配置合适的值。
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
弹性计算 运维 安全
阿里云操作系统迁移最佳实践|飞天技术沙龙-CentOS 迁移替换专场
本次方案的主题是阿里云操作系统迁移最佳实践,Alibaba Cloud Linux /Anolis OS 兼容 CentOS 生态,因此能够很丝滑的进行迁移替换。无论是对企业的运维人员,还是对企业操作系统的使用者来说,相对简化了它的维护成本。通过 SMC 操作系统迁移实践带用户深入了解,不仅阐述了原地迁移方案的独特优势,还针对不同的迁移场景,逐步剖析了整个迁移流程,力求使复杂的操作变得直观易懂,实现了真正的“白屏化”体验。 1. CentOS 迁移背景 2. 操作系统迁移实践 3. 迁移故障处理
|
2月前
|
安全 大数据 Linux
云上体验最佳的服务器操作系统 - Alibaba Cloud Linux | 飞天技术沙龙-CentOS 迁移替换专场
本次方案的主题是云上体验最佳的服务器操作系统 - Alibaba Cloud Linux ,从 Alibaba Cloud Linux 的产生背景、产品优势以及云上用户使用它享受的技术红利等方面详细进行了介绍。同时,通过国内某社交平台、某快递企业、某手机客户大数据业务 3 大案例,成功助力客户实现弹性扩容能力提升、性能提升、降本增效。 1. 背景介绍 2. 产品介绍 3. 案例分享
|
3月前
|
Unix Linux Docker
CentOS停更沉寂,RHEL巨变限制源代:Docker容器化技术的兴起助力操作系统新格局
操作系统是计算机系统的核心软件,管理和控制硬件与软件资源,为用户和应用程序提供高效、安全的运行环境。Linux作为开源、跨平台的操作系统,具有高度可定制性、稳定性和安全性,广泛应用于服务器、云计算、物联网等领域。其发展得益于庞大的社区支持,多种发行版如Ubuntu、Debian、Fedora等满足不同需求。
83 5
|
6月前
|
Oracle Java 关系型数据库
CentOS 7.6操作系统部署JDK实战案例
这篇文章介绍了在CentOS 7.6操作系统上通过多种方式部署JDK的详细步骤,包括使用yum安装openjdk、基于rpm包和二进制包安装Oracle JDK,并提供了配置环境变量的方法。
352 80
|
8月前
|
Linux 虚拟化 数据安全/隐私保护
部署05-VMwareWorkstation中安装CentOS7 Linux操作系统, VMware部署CentOS系统第一步,下载Linux系统,/不要忘, CentOS -7-x86_64-DVD
部署05-VMwareWorkstation中安装CentOS7 Linux操作系统, VMware部署CentOS系统第一步,下载Linux系统,/不要忘, CentOS -7-x86_64-DVD
|
6月前
|
运维 Linux
CentOS操作系统常见的故障处理
本文分享了CentOS操作系统网卡启动失败的故障处理方法,包括使用命令查看日志和禁用NetworkManager服务。
268 4
CentOS操作系统常见的故障处理
|
5月前
|
弹性计算 关系型数据库 MySQL
CentOS 7.x操作系统的ECS云服务器上搭建WordPress网站
CentOS 7.x操作系统的ECS云服务器上搭建WordPress网站
|
5月前
|
Linux 编译器 C语言
./build.sh:行1: g++: 未找到命令的错误问题在centos操作系统下面如何解决
通过上述步骤,您应该能够有效地解决CentOS系统中 `g++: 未找到命令`的错误。确保软件开发环境配置得当,对于顺利执行编译脚本和日常开发工作至关重要。如果问题依然存在,考虑检查脚本内的命令路径引用是否正确,或进一步排查系统配置问题。
225 0
|
7月前
|
人工智能 运维 安全
CentOS停更无忧,中国操作系统闯入后CentOS时代
CentOS停更无忧,中国操作系统闯入后CentOS时代