|
16.确保禁用了数据包重定向发送
ICMP重定向用于将路由信息发送到其他主机。由于主机本身不充当路由器(在仅主机配置中),因此无需发送重定向。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.default.send_redirects=0
sysctl -w net.ipv4.route.flush=1
17.确保记录了可疑数据包
启用后,此功能会将具有不可路由源地址的数据包记录到内核日志中。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.log_martians=1
sysctl -w net.ipv4.conf.default.log_martians=1
sysctl -w net.ipv4.route.flush=1
18.确保将日记记录配置为将日志文件写入永久磁盘
来自日志的数据可以存储在易失性内存中,也可以永久存储在服务器上。通过将日志持久保存到服务器上的本地磁盘,可以防止日志丢失
编辑/etc/systemd/journald.conf文件并添加以下行:
Storage=persistent
19.禁用USB存储
USB存储设备提供了一种传输和存储文件的方法,可确保文件的持久性和可用性独立于网络连接状态。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件
例如:vim /etc/modprobe.d/usb-storage.conf并添加以下行:
install usb-storage /bin/true
运行以下命令以卸载usb-storage模块:
rmmod usb-storage
20.确保不接受源路由数据包
在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv6.conf.all.accept_source_route=0
sysctl -w net.ipv6.conf.default.accept_source_route=0
sysctl -w net.ipv4.route.flush=1
sysctl -w net.ipv6.route.flush=1
21.确保不接受ICMP重定向
ICMP重定向消息是传递路由信息并告诉主机(充当路由器)通过备用路径发送数据包的数据包。这是一种允许外部路由设备更新系统路由表的方法。通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0
sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.default.accept_redirects=0
sysctl -w net.ipv4.route.flush=1
sysctl -w net.ipv6.route.flush=1
|