「CentOS7操作系统安全加固系列」第(5)篇

copy_left 2020-11-13

展开全文

1、更改主机解析地址的顺序

规则描述：

1、检查是否设置首先通过DNS解析IP地址，然后通过hosts文件解析。

2、检查设置检测是否'/etc/hosts'文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。

3、检查是否设置说明要注意对本机未经许可的IP欺骗。

审计描述：检查文件/etc/host.conf，看是否存在如下内容：
order hosts,bind

multi on

nospoof on

修改建议：在文件/etc/host.conf中修改或添加如下内容：
order hosts,bind

multi on

nospoof on

检测用例信息：检查文件中是否存在order hosts,bind：

egrep -v '^\s*#' /etc/host.conf | egrep -i '^\s*order\s*hosts\s*'

2、历史命令设置

规则描述：历史命令设置

审计描述：编辑文件/etc/profile查看是否存在如下内容：
HISTFILESIZE=5
HISTSIZE=5

修改建议：在文件/etc/profile中修改添加如下配置：
HISTFILESIZE=5
HISTSIZE=5

检测用例信息：

1）检查文件中是否存在HISTFILESIZE配置：

cat /etc/profile|grep -v '^\s*#'|grep 'HISTFILESIZE\s*=' | tail -1

HISTFILESIZE的值小于等于5

2）检查文件中是否存在HISTSIZE配置：

cat /etc/profile|grep -v '^\s*#'|grep 'HISTSIZE\s*=' | tail -1

HISTSIZE的值小于等于5

解决办法:

sed -i 's/HISTSIZE=1000/HISTSIZE=5/g' /etc/profileecho -e '\nHISTFILESIZE=5' >> /etc/profile

3、加固内核参数

1）禁止ICMP重定向

规则描述：禁止ICMP重定向

审计描述：禁止ICMP重定向，查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.conf.all.accept_redirects参数，值为0合规

执行命令：1.sysctl net.ipv4.conf.all.accept_redirects ；

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniq

修改建议：设置配置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数：net.ipv4.conf.all.accept_redirects=0，执行命令sysctl -p重新加载配置文件使其生效

2）禁止IP路由转发

规则描述：禁止IP路由转发

审计描述：检查系统是否禁用IP路由转发功能，查看文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.ip_forward参数，值为0表示合规，

执行命令: 1.sysctl net.ipv4.ip_forward 2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniq

3）禁止IP源路由

规则描述：禁止IP源路由

审计描述：检查文件/etc/sysctl.conf或/etc/sysctl.d/参数accept_source_route值均为0合规，

执行命令：

1.sysctl net.ipv4.conf.all.accept_source_route
2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v'^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq
3.sysctl net.ipv4.conf.default.accept_source_route
4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniq

修改建议：设置文件/etc/sysctl.conf或/etc/sysctl.d/*的以下参数：net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

执行命令：sysctl -p 重新加载配置文件，使其生效

4）确保忽略广播的ICMP请求

规则描述：系统忽略所有广播和多播地址的ICMP回显和时间戳记请求，把配置文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts的参数设置为1

审计描述：检查系统是否开启忽略广播ICMP请求功能，检查文件/etc/sysctl.conf或/etc/sysctl.d/中net.ipv4.icmp_echo_ignore_broadcasts参数，值为1表示合规，

执行命令：

1.sysctl net.ipv4.icmp_echo_ignore_broadcasts

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniq

修改建议：设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数为：net.ipv4.icmp_echo_ignore_broadcasts = 1，执行命令：sysctl -p 加载配置文件，使该策略项生效

5)检查可疑数据包是否被记录

规则描述：开启功能后，将不可发送源地址的数据包记录到内核日志

审计描述：检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.conf.all.log_martians和net.ipv4.conf.default.log_martians，值为1表示合规，

执行命令：

1.sysctl net.ipv4.conf.all.log_martians

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians'
3.sysctl net.ipv4.conf.default.log_martians

4.cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians'

修改建议：设置文件/etc/sysctl.conf或/etc/sysctl.d/*的参数：net.ipv4.conf.all.log_martians=1 和 net.ipv4.conf.default.log_martians=1，执行命令：sysctl -p重新加载配置文件使策略项生效

6)打开syncookie缓解syn flood攻击

规则描述：打开syncookie缓解syn flood攻击

审计描述：检查文件/etc/sysctl.conf或/etc/sysctl.d/的参数net.ipv4.tcp_syncookies，值为1表示合规，

执行命令：

1.sysctl net.ipv4.tcp_syncookies

2.cat /etc/sysctl.conf /etc/sysctl.d/ | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq

修改建议：修改文件/etc/sysctl.conf或/etc/sysctl.d/*的参数net.ipv4.tcp_syncookies = 1，执行命令sysctl -p 重新加载配置文件，使其生效

#禁止ICMP重定向echo 'net.ipv4.conf.all.accept_redirects = 0 ' >> /etc/sysctl.conf #禁止IP路由转发echo 'net.ipv4.ip_forward = 0 ' >> /etc/sysctl.conf#禁止IP源路由echo 'net.ipv4.conf.all.accept_source_route = 0 '  >> /etc/sysctl.confecho 'net.ipv4.conf.default.accept_source_route = 0 '  >> /etc/sysctl.conf#确保忽略广播的ICMP请求echo 'net.ipv4.icmp_echo_ignore_broadcasts = 1'  >> /etc/sysctl.conf#检查可疑数据包是否被记录echo 'net.ipv4.conf.all.log_martians=1 '  >> /etc/sysctl.confecho 'net.ipv4.conf.default.log_martians=1'  >> /etc/sysctl.conf#打开syncookie缓解syn flood攻击echo 'net.ipv4.tcp_syncookies  = 1 ' >> /etc/sysctl.conf

cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_redirects' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.ip_forward' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.accept_source_route' | uniq cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.accept_source_route' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.icmp_echo_ignore_broadcasts' | uniqcat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.all.log_martians' cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.conf.default.log_martians' cat /etc/sysctl.conf /etc/sysctl.d/* | grep -v '^\s*#' | grep 'net.ipv4.tcp_syncookies' | uniq

sysctl -p生效

或者sysctl -p /etc/sysctl.conf加载sysctl.conf文件中设置的内核参数

验证

其它内核安全建议

net.ipv4.icmp_echo_ignore_all：忽略ICMP请求。出于安全考虑，建议开启此项（当前默认值为0，开启将值设为1）。但开启后会忽略所有接收到的icmp echo请求的包(会导致机器无法ping通)，建议用户根据实际组网场景决定是否开启此项。
net.ipv4.conf.all.log_martians/net.ipv4.conf.default.log_martians：对于仿冒/源路由/重定向数据包开启日志记录。出于安全考虑，建议开启此项（当前默认值为0，开启将值设为1）。但是开启后会记录带有不允许的地址的数据到内核日志中，存在冲日志风险，建议用户根据实际使用场景决定是否开启此项。
net.ipv4.tcp_timestamps：关闭tcp_timestamps。出于安全考虑，建议关闭tcp_timestamps（当前默认值为1，关闭将值设为0）。但是关闭此项会影响TCP超时重发的性能，建议用户根据实际使用场景决定是否关闭此项。
net.ipv4.tcp_max_syn_backlog：决定了SYN_RECV状态队列的数量。该参数决定了SYN_RECV状态队列的数量，超过这个数量，系统将不再接受新的TCP连接请求，一定程度上可以防止系统资源耗尽。建议由用户根据实际使用场景配置合适的值。