IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Linux安全基线(三)配置6小项 -> 正文阅读

[系统运维]Linux安全基线(三)配置6小项


16.确保禁用了数据包重定向发送
ICMP重定向用于将路由信息发送到其他主机。由于主机本身不充当路由器(在仅主机配置中),因此无需发送重定向。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.default.send_redirects=0
sysctl -w net.ipv4.route.flush=1


17.确保记录了可疑数据包
启用后,此功能会将具有不可路由源地址的数据包记录到内核日志中。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.log_martians=1
sysctl -w net.ipv4.conf.default.log_martians=1
sysctl -w net.ipv4.route.flush=1


18.确保将日记记录配置为将日志文件写入永久磁盘
来自日志的数据可以存储在易失性内存中,也可以永久存储在服务器上。通过将日志持久保存到服务器上的本地磁盘,可以防止日志丢失
编辑/etc/systemd/journald.conf文件并添加以下行:
Storage=persistent

19.禁用USB存储
USB存储设备提供了一种传输和存储文件的方法,可确保文件的持久性和可用性独立于网络连接状态。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件
例如:vim /etc/modprobe.d/usb-storage.conf并添加以下行:
install usb-storage /bin/true
运行以下命令以卸载usb-storage模块:
rmmod usb-storage

20.确保不接受源路由数据包
在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv6.conf.all.accept_source_route=0
sysctl -w net.ipv6.conf.default.accept_source_route=0
sysctl -w net.ipv4.route.flush=1
sysctl -w net.ipv6.route.flush=1


21.确保不接受ICMP重定向
ICMP重定向消息是传递路由信息并告诉主机(充当路由器)通过备用路径发送数据包的数据包。这是一种允许外部路由设备更新系统路由表的方法。通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
运行以下命令来设置活动的内核参数:
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0
sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.default.accept_redirects=0
sysctl -w net.ipv4.route.flush=1
sysctl -w net.ipv6.route.flush=1

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-09-30 01:24:17  更:2022-09-30 01:25:10 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 9:54:26-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计