1、更改主机解析地址的顺序规则描述: 1、检查是否设置首先通过DNS解析IP地址,然后通过hosts文件解析。 2、检查设置检测是否'/etc/hosts'文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。 3、检查是否设置说明要注意对本机未经许可的IP欺骗。 审计描述:检查文件/etc/host.conf,看是否存在如下内容: multi on nospoof on 修改建议:在文件/etc/host.conf中修改或添加如下内容: multi on nospoof on 检测用例信息:检查文件中是否存在order hosts,bind: egrep -v '^\s*#' /etc/host.conf | egrep -i '^\s*order\s*hosts\s*' 2、历史命令设置规则描述:历史命令设置 审计描述:编辑文件/etc/profile查看是否存在如下内容: 修改建议:在文件/etc/profile中修改添加如下配置: 检测用例信息: 1)检查文件中是否存在HISTFILESIZE配置: cat /etc/profile|grep -v '^\s*#'|grep 'HISTFILESIZE\s*=' | tail -1 HISTFILESIZE的值小于等于5 2)检查文件中是否存在HISTSIZE配置: cat /etc/profile|grep -v '^\s*#'|grep 'HISTSIZE\s*=' | tail -1 HISTSIZE的值小于等于5 解决办法:
3、加固内核参数1)禁止ICMP重定向规则描述:禁止ICMP重定向 审计描述:禁止ICMP重定向,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.conf.all.accept_redirects参数,值为0合规 执行命令:1.sysctl net.ipv4.conf.all.accept_redirects ; 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniq 修改建议:设置配置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.accept_redirects=0, 执行命令sysctl -p重新加载配置文件使其生效 2)禁止IP路由转发规则描述:禁止IP路由转发 审计描述:检查系统是否禁用IP路由转发功能,查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.ip_forward参数,值为0表示合规, 执行命令: 1.sysctl net.ipv4.ip_forward 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniq 3)禁止IP源路由规则描述:禁止IP源路由 审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/参数accept_source_route值均为0合规, 执行命令: 1.sysctl net.ipv4.conf.all.accept_source_route 修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的以下参数:net.ipv4.conf.all.accept_source_route = 0 执行命令:sysctl -p 重新加载配置文件,使其生效 4)确保忽略广播的ICMP请求规则描述:系统忽略所有广播和多播地址的ICMP回显和时间戳记请求,把配置文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts的参数设置为1 审计描述:检查系统是否开启忽略广播ICMP请求功能,检查文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts参数,值为1表示合规, 执行命令: 1.sysctl net.ipv4.icmp_echo_ignore_broadcasts 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniq 修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数为:net.ipv4.icmp_echo_ignore_broadcasts = 1,执行命令:sysctl -p 加载配置文件,使该策略项生效 5)检查可疑数据包是否被记录规则描述:开启功能后,将不可发送源地址的数据包记录到内核日志 审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.conf.all.log_martians和net.ipv4.conf.default.log_martians,值为1表示合规, 执行命令: 1.sysctl net.ipv4.conf.all.log_martians 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians' 4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians' 修改建议:设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数:net.ipv4.conf.all.log_martians=1 和 net.ipv4.conf.default.log_martians=1,执行命令:sysctl -p重新加载配置文件使策略项生效 6)打开syncookie缓解syn flood攻击规则描述:打开syncookie缓解syn flood攻击 审计描述:检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.tcp_syncookies,值为1表示合规, 执行命令: 1.sysctl net.ipv4.tcp_syncookies 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq 修改建议:修改文件/etc/sysctl.conf或/etc/sysctl.d/*的参数net.ipv4.tcp_syncookies = 1,执行命令sysctl -p 重新加载配置文件,使其生效 #禁止ICMP重定向echo 'net.ipv4.conf.all.accept_redirects = 0 ' >> /etc/sysctl.conf #禁止IP路由转发echo 'net.ipv4.ip_forward = 0 ' >> /etc/sysctl.conf#禁止IP源路由echo 'net.ipv4.conf.all.accept_source_route = 0 ' >> /etc/sysctl.confecho 'net.ipv4.conf.default.accept_source_route = 0 ' >> /etc/sysctl.conf#确保忽略广播的ICMP请求echo 'net.ipv4.icmp_echo_ignore_broadcasts = 1' >> /etc/sysctl.conf#检查可疑数据包是否被记录echo 'net.ipv4.conf.all.log_martians=1 ' >> /etc/sysctl.confecho 'net.ipv4.conf.default.log_martians=1' >> /etc/sysctl.conf#打开syncookie缓解syn flood攻击echo 'net.ipv4.tcp_syncookies = 1 ' >> /etc/sysctl.conf
sysctl -p生效 或者sysctl -p /etc/sysctl.conf加载sysctl.conf文件中设置的内核参数 验证 其它内核安全建议
|
|