linux系統(tǒng)安全配置要求.doc

linux系統(tǒng)安全配置要求1. 帳戶安全配置要求1.1. 創(chuàng)建/etc/shadow口令文件配置項名稱設置影子口令模式檢查方法執(zhí)行：#more /etc/shadow查看是否存在該文件操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak2、切換到影子口令模式：#pwconv回退操作執(zhí)行：#pwunconv#cp /etc/passwd_bak /etc/passwd風險說明系統(tǒng)默認使用標準口令模式，切換不成功可能導致整個用戶管理失效1.2. 建立多帳戶組，將用戶賬號分配到相應的帳戶組配置項名稱建立多帳戶組，將用戶賬號分配到相應的帳戶組檢查方法1、執(zhí)行：#more /etc/group#more /etc/shadow查看每個組中的用戶或每個用戶屬于那個組2、確認需要修改用戶組的用戶操作步驟1、執(zhí)行備份：#cp p /etc/group /etc/group_bak2、修改用戶所屬組：# usermod g group username回退操作執(zhí)行：#cp /etc/group_bak /etc/group風險說明修改用戶所屬組可能導致某些應用無法正常運行1.3. 刪除或鎖定可能無用的帳戶配置項名稱刪除或鎖定可能無用的帳戶檢查方法1、執(zhí)行：#more /etc/passwd查看是否存在以下可能無用的帳戶：hpsmh、named、uucp、nuucp、adm、daemon、bin、lp2、與管理員確認需要鎖定的帳戶操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak2、鎖定無用帳戶：#passwd -l username回退操作執(zhí)行：#cp /etc/passwd_bak /etc/passwd風險說明鎖定某些用戶可能導致某些應用無法正常運行1.4. 刪除可能無用的用戶組配置項名稱刪除可能無用的用戶組檢查方法1、執(zhí)行：#more /etc/group查看是否存在以下可能無用的用戶組：lp nuucp nogroup2、與管理員確認需要刪除的用戶組操作步驟1、執(zhí)行備份：#cp p /etc/group /etc/group_bak2、刪除無用的用戶組：#groupdel groupname回退操作執(zhí)行：#cp /etc/group_bak /etc/group風險說明刪除某些組可能導致某些應用無法正常運行1.5. 檢查是否存在空密碼的帳戶配置項名稱檢查是否存在空密碼的帳戶檢查方法執(zhí)行下列命令，檢查是否存在空密碼的帳戶logins p應無回結果操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、鎖定空密碼帳戶或使用passwd命令設置復雜密碼#passwd l username回退操作執(zhí)行：#cp p /etc/passwd_bak /etc/passwd#cp -p /etc/shadow_bak /etc/shadow風險說明鎖定某些帳戶可能導致某些應用無法正常運行1.6. 設置口令策略滿足復雜度要求配置項名稱設置口令策略滿足復雜度要求檢查方法1、執(zhí)行下列命令，檢查是否存在空密碼的帳戶#logins p應無返回結果2、執(zhí)行：#more /etc/default/security檢查是否滿足以下各項復雜度參數(shù)：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步驟1、執(zhí)行備份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、執(zhí)行下列命令，編輯/etc/default/security#vi /etc/default/security修改以下各項復雜度參數(shù)：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作執(zhí)行： #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd風險說明可能導致非root用戶修改自己的密碼時多次不成功1.7. 設置帳戶口令生存周期配置項名稱設置帳戶口令生存周期檢查方法執(zhí)行：#more /etc/default/security查看是否存在以下各項參數(shù)：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步驟1、執(zhí)行備份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、執(zhí)行下列命令，編輯/etc/default/security#vi /etc/default/security修改以下各項參數(shù)：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作執(zhí)行： #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd風險說明可能在密碼過期后影響正常使用及維護1.8. 設定密碼歷史，不能重復使用最近5次（含5次）內已使用的口令配置項名稱應配置設備，使用戶不能重復使用最近5次（含5次）內已使用的口令檢查方法執(zhí)行：#more /etc/default/security查看是否存在以下參數(shù)：PASSWORD_HISTORY_DEPTH=5操作步驟1、執(zhí)行備份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、執(zhí)行下列命令，編輯/etc/default/security#vi /etc/default/security修改以下參數(shù)：PASSWORD_HISTORY_DEPTH=5回退操作執(zhí)行： #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd風險說明低風險1.9. 限制root用戶遠程登錄配置項名稱root用戶遠程登錄限制檢查方法執(zhí)行：#more /etc/securetty檢查是否有下列行：Console執(zhí)行：#more /opt/ssh/etc/sshd_config檢查是否有PermitRootLogin no操作步驟1、執(zhí)行備份：#cp p /etc/securetty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak2、新建一個普通用戶并設置高強度密碼：#useradd username#passwd username3、禁止root用戶遠程登錄系統(tǒng)：#vi /etc/securetty去掉console前面的注釋，保存退出#vi /opt/ssh/etc/sshd_config將PermitRootLogin后的yes改為no回退操作執(zhí)行：#cp /etc/securetty_bak /etc/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config風險說明嚴重改變維護人員操作習慣，必須新建一個能夠執(zhí)行交互式登錄的普通用戶并能夠通過su提升權限，可能帶來新的威脅1.10. 檢查passwd、group文件權限設置配置項名稱檢查passwd、group文件權限設置檢查方法執(zhí)行：#ls l /etc/passwd /etc/group操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak#cp p /etc/group /etc/group_bak2、修改文件權限：#chmod 644 /etc/passwd#chmod 644 /etc/group回 退執(zhí)行：#cp /etc/passwd_bak /etc/passwd#cp /etc/group_bak /etc/group風險說明權限設置不當可能導致無法執(zhí)行用戶管理，并可能造成某些應用運行異常 1.11. 系統(tǒng)umask設置配置項名稱系統(tǒng)umask設置檢查方法執(zhí)行：#more /etc/profile檢查系統(tǒng)umask值操作步驟1、執(zhí)行備份：#cp -p /etc/profile /etc/profile_bak2、修改umask設置：#vi /etc/profile將umask值修改為027，保存退出回退操作執(zhí)行：#cp /etc/profile_bak /etc/profile風險說明umask設置不當可能導致某些應用無法正確自動創(chuàng)建目錄或文件，從而運行異常 2. 訪問、認證安全配置要求2.1. 遠程登錄取消telnet采用ssh配置項名稱遠程登錄取消telnet采用ssh檢查方法查看SSH、telnet服務狀態(tài)：#ps elf | grep ssh#ps elf | grep telnetSSH服務狀態(tài)查看結果為：onlinetelnet服務狀態(tài)查看結果為：disabled操作步驟1、備份#cp p /etc/inetd.conf /etc/inetd.conf_bak2、修改/etc/inetd.conf文件，將telnet行注釋掉#telnet stream tcp nowait root /usr/lbin/telnetd telnetd3、重啟服務# inetd -c4、安裝ssh軟件包，通過#/opt/ssh/sbin/sshd start來啟動SSH?；赝瞬僮鲌?zhí)行：#cp p /etc/inetd.conf_bak /etc/inetd.conf啟動telnet#/usr/lbin/telnetd start停止SSH#/opt/ssh/sbin/sshd stop風險說明影響維護人員操作習慣，需要重啟服務2.2. 限制系統(tǒng)帳戶FTP登錄配置項名稱限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系統(tǒng)帳戶FTP登錄檢查方法執(zhí)行：#cat /etc/ftpd/ftpusers查看具體的禁止FTP登陸系統(tǒng)的用戶名單操作步驟1、執(zhí)行備份：#cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak2、禁止用戶FTP登錄系統(tǒng)：#vi /etc/ftpd/ftpusers每一個帳戶一行，添加以下帳戶禁止FTP登錄root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作執(zhí)行：#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers風險說明禁止某些帳戶登錄FTP可能導致某些應用無法正常運行2.3. 配置允許訪問inetd服務的IP范圍或主機名配置項名稱配置允許訪問inetd服務的IP范圍或主機名檢查方法執(zhí)行：#cat /var/adm/inetd.sec查看有無類似login deny testlan配置操作步驟1、執(zhí)行備份：#cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak2、添加允許訪問inetd服務的IP范圍或主機名：#vi /var/adm/inetd.sec按照如下格式添加IP范圍或主機名service name allow | deny hostaddrs | hostnames |netaddrs | netnames 回退操作執(zhí)行：#cp /var/adm/inetd.sec_bak /var/adm/inetd.sec風險說明需確認IP信任范圍，設置不當會導致網絡服務通信異常2.4. 禁止除root外帳戶使用at/cron配置項名稱禁止除root外帳戶使用at/cron檢查方法執(zhí)行：# cd /var/adm/cron#cat cron.allow#cat at.allow查看是否存在root；執(zhí)行：#cat cron.deny#cat at.deny檢查是否存在cron.deny和at.deny文件，若存在，應刪除。操作步驟1、執(zhí)行備份# cd /var/adm/cron#cp -p cron.deny cron.deny_bak#cp -p at.deny at.deny_bak#cp -p cron.allow cron.allow_bak#cp -p at.allow at.allow _bak2、添加root到cron.allow和at.allow，并刪除cron.deny和at.deny。#cd /var/adm/cron#rm -f cron.deny at.deny#echo root cron.allow#echo root at.allow#chown root:sys cron.allow at.allow#chmod 400 cron.allow at.allow回退操作# cd /var/adm/cron#cp -p cron.deny_bak cron.deny#cp -p at.deny_bak at.deny#cp -p cron.allow_bak cron.allow#cp -p at.allow_bak at.allow風險說明除root外帳戶不能使用at/cron，可能影響某些應用。2.5. 設定連續(xù)認證失敗次數(shù)超過6次（不含6次）鎖定該賬號配置項名稱配置當用戶連續(xù)認證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。檢查方法執(zhí)行：#cat /etc/default/security檢查是否存在AUTH_MAXTRIES=6操作步驟1、執(zhí)行備份#cp -p /etc/default/security /etc/default/security_bak2、執(zhí)行下列命令，設置最大登錄認證重試次數(shù)鎖定帳戶為6次echo AUTH_MAXTRIES=6 /etc/default/security回退操作#cp -p /etc/default/security_bak /etc/default/security風險說明root賬號也在鎖定的限制范圍內，一旦root被鎖定，就需要光盤引導，因此該配置要慎用。3. 文件系統(tǒng)安全配置要求3.1. 重要目錄和文件的權限設置配置項名稱重要目錄和文件的權限設置檢查方法執(zhí)行以下命令檢查目錄和文件的權限設置情況：#ls l /etc/#ls l /tmp/#ls l /etc/default/#ls -l /etc/rc.config.d/操作步驟1、執(zhí)行備份：使用cp命令備份需要修改權限的文件或目錄2、權限修改：使用chmod命令修改文件或目錄權限回退操作使用cp命令恢復被修改權限的文件或目錄或使用chmod命令恢復權限風險說明修改某些重要的配置文件的權限可能導致系統(tǒng)功能或應用異常3.2. 檢查沒有所有者的文件或目錄配置項名稱檢查沒有所有者的文件或目錄檢查方法執(zhí)行：#find / ( -nouser -o -nogroup ) -exec ls -al ;咨詢管理員找到的文件或目錄是否應用所需操作步驟1、執(zhí)行備份：使用cp命令備份沒有所有者的文件或目錄2、使用chmod命令添加屬主或刪除沒有所有者的文件或目錄：#rm rf filename回退操作使用cp命令恢復被刪除的沒有所有者的文件或目錄風險說明執(zhí)行檢查會大量消耗系統(tǒng)資源，需要確認無所有者的文件的具體用途4. 網絡服務安全配置要求4.1. 禁止NIS/NIS+服務以守護方式運行配置項名稱禁止NIS/NIS+服務以守護方式運行Network Information System檢查方法執(zhí)行：#more /etc/rc.config.d/namesvrs查看該文件中是否存在以下參數(shù)：NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=0操作步驟1、執(zhí)行備份：#cp -p /etc/rc.config.d/namesvrs /etc/rc.config.d/namesvrs_bak2、編輯/etc/rc.config.d/namesvrs文件，設置參數(shù)：#ch_rc -a -p NIS_MASTER_SERVER=0 -p NIS_SLAVE_SERVER=0 -p NIS_CLIENT=0 -p NISPLUS_SERVER=0 -p NISPLUS_CLIENT=0 /etc/rc.config.d/namesvrs回退操作#cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs風險說明NIS/NIS+服務無法自動啟動4.2. 禁用打印服務以守護方式運行配置項名稱禁止打印服務以守護方式運行檢查方法執(zhí)行：#more /etc/rc.config.d/tps查看該文件中是否存在XPRINTSERVERS=#more /etc/rc.config.d/lp查看該文件中是否存在LP=0#more /etc/rc.config.d/pd查看該文件中是否存在PD_CLIENT=0操作步驟1、執(zhí)行備份：#cp -p /etc/rc.config.d/tps /etc/rc.config.d/tps_bak#cp -p /etc/rc.config.d/lp /etc/rc.config.d/lp_bak#cp -p /etc/rc.config.d/pd /etc/rc.config.d/pd_bak2、設置參數(shù)：#ch_rc -a -p XPRINTSERVERS= /etc/rc.config.d/tps#ch_rc -a -p LP=0 /etc/rc.config.d/lp#ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/pd回退操作#cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs風險說明打印服務無法自動啟動4.3. 禁用SENDMAIL服務以守護方式運行配置項名稱禁止SENDMAIL服務以守護方式運行檢查方法執(zhí)行：#more /etc/rc.config.d/mailservs查看該文件中是否存在SENDMAIL_SERVER=0操作步驟1、執(zhí)行備份：#cp -p /etc/rc.config.d/mailservs /etc/rc.config.d/mailservs_bak#cp -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak2、設置參數(shù)：#ch_rc -a -p SENDMAIL_SERVER=0 /etc/rc.config.d/mailservs#cd /var/spool/cron/crontabs#crontab -l root.tmp#echo 0 * * * * /usr/lib/sendmail -q root.tmp#crontab root.tmp#rm -f root.tmp回退操作#cp -p /etc/rc.config.d/mailservs /etc/rc.config.d/mailservs_bak#cp -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak風險說明導致無法收發(fā)郵件，需確認服務器用途4.4. 禁用不必要的標準啟動服務配置項名稱禁用不必要的標準啟動服務檢查方法檢查SNAplus2服務，執(zhí)行：#more /etc/rc.config.d/snaplus2查看該文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0檢查多播路由服務，執(zhí)行：#more /etc/rc.config.d/netdaemons查看該文件中是否存在MROUTED=0、RWHOD=0、DDFA=0、START_RBOOTD=0檢查DFS分布式文件系統(tǒng)服務，執(zhí)行：#more /etc/rc.config.d/dfs查看該文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0檢查逆地址解析服務，執(zhí)行：#more /etc/rc.config.d/netconf查看該文件中是否存在RARPD=0、RDPD=0檢查響應PTY（偽終端）請求守護進程，執(zhí)行：#more /etc/rc.config.d/ptydaemon查看該文件中是否存在PTYDAEMON_START=0檢查響應VT（通過LAN登錄其他系統(tǒng)）請求守護進程，執(zhí)行：#more /etc/rc.config.d/vt查看該文件中是否存在VTDAEMON_START=0檢查域名守護進程服務，執(zhí)行：#more /etc/rc.config.d/namesvrs查看該文件中是否存在NAMED=0檢查SNMP代理進程服務，執(zhí)行：#more /etc/rc.config.d/peer.snmpd查看該文件中是否存在PEER_SNMPD_START=0檢查授權管理守護進程服務，執(zhí)行：#more /etc/rc.config.d/i4lmd查看該文件中是否存在START_I4LMD=0檢查SNAplus2服務，執(zhí)行：#more /etc/rc.config.d/snaplus2查看該文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0檢查X字體服務，執(zhí)行：#more /etc/rc.config.d/xfs查看該文件中是否存在RUN_X_FONT_SERVER=0檢查語音服務，執(zhí)行：#more /etc/rc.config.d/audio查看該文件中是否存在AUDIO_SERVER=0檢查SLSD（Single-Logical-Screen-Daemon）服務，執(zhí)行：#more /etc/rc.config.d/slsd查看該文件中是否存在SLSD_DAEMON=0檢查SAMBA服務，執(zhí)行：#more /etc/rc.config.d/samba查看該文件中是否存在RUN_SAMBA=0檢查CIFS客戶端服務，執(zhí)行：#more /etc/rc.config.d/cifsclient查看該文件中是否存在RUN_CIFSCLIENT=0檢查NFS啟動服務，執(zhí)行：#more /etc/rc.config.d/nfsconf查看該文件中是否存在NFS_SERVER=0、NFS_CLIENT=0檢查Netscape FastTrack Server服務，執(zhí)行：#more /etc/rc.config.d/ns-ftrack查看該文件中是否存在NS_FTRACK=0檢查APACHE服務，執(zhí)行：#more /etc/rc.config.d/apacheconf查看該文件中是否存在APACHE_START=0檢查基于RPC的服務，執(zhí)行：#ls /sbin/rc2.d/.NOS400nfs.core查看是否存在該文件操作步驟1、執(zhí)行備份：使用cp命令備份需要修改的文件2、設置參數(shù)：執(zhí)行下列命令，禁用SNAplus2服務#ch_rc -a -p START_SNAPLUS=0 -p START_SNANODE=0 -p START_SNAINETD=0 /etc/rc.config.d/snaplus2執(zhí)行下列命令，禁用多播路由服務#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -p START_RBOOTD=0 /etc/rc.config.d/netdaemons執(zhí)行下列命令，禁用DFS分布式文件系統(tǒng)服務#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -p DFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.config.d/dfs執(zhí)行下列命令，禁用逆地址解析服務#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.config.d/netconf執(zhí)行下列命令，禁用響應PTY（偽終端）請求守護進程#ch_rc -a -p PTYDAEMON_START=0 /etc/rc.config.d/ptydaemon執(zhí)行下列命令，禁用響應VT（通過LAN登錄其他系統(tǒng)）請求守護進程#ch_rc -a -p VTDAEMON_START=0 /etc/rc.config.d/vt執(zhí)行下列命令，禁用域名守護進程#ch_rc -a -p NAMED=0 /etc/rc.config.d/namesvrs執(zhí)行下列命令，禁用SNMP代理進程#ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.config.d/peer.snmpd執(zhí)行下列命令，禁用授權管理守護進程#ch_rc -a -p START_I4LMD=0 /etc/rc.config.d/i4lmd執(zhí)行下列命令，禁用X字體服務#ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.config.d/xfs執(zhí)行下列命令，禁用語音服務#ch_rc -a -p AUDIO_SERVER=0 /etc/rc.config.d/audio執(zhí)行下列命令，禁用SLSD（Single-Logical-Screen-Daemon）服務#ch_rc -a -p SLSD_DAEMON=0 /etc/rc.config.d/slsd執(zhí)行下列命令，禁用SAMBA服務#ch_rc -a -p RUN_SAMBA=0 /etc/rc.config.d/samba執(zhí)行下列命令，禁用CIFS客戶端服務#ch_rc -a -p RUN_CIFSCLIENT=0 /etc/rc.config.d/cifsclient執(zhí)行下列命令，禁用NFS服務#ch_rc -a -p NFS_SERVER=0 -p NFS_CLIENT=0 /etc/rc.config.d/nfsconf執(zhí)行下列命令，禁用Netscape FastTrack Server服務#ch_rc -a -p NS_FTRACK=0 /etc/rc.config.d/ns-ftrack執(zhí)行下列命令，禁用APACHE服務#ch_rc -a -p APACHE_START=0 /etc/rc.config.d/apacheconf執(zhí)行下列命令，禁用基于RPC的服務#mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core回退操作使用cp命令恢復被修改的文件風險說明禁用服務會影響某些應用運行 4.5. 禁用不必要的inetd服務配置項名稱inetd中基本網絡服務配置檢查方法執(zhí)行：#more /etc/inetd.conf檢查基本的網絡服務的開啟或禁止情況操作步驟1、執(zhí)行備份：#cp p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要服務：#vi /etc/inetd.conf在非必要服務前面加#注釋3、重新啟動inetd：#/sbin/init.d/inetd stop|start回退操作執(zhí)行：#cp /etc/inetd.conf_bak /etc/inetd.conf#/sbin/init.d/inetd stop|start風險說明關閉某些網絡服務可能導致應用出現(xiàn)問題，重啟inetd服務可能導致業(yè)務中斷5. IP協(xié)議安全配置要求5.1. 關閉IP轉發(fā)配置項名稱關閉IP轉發(fā)檢查方法執(zhí)行：#ndd -get /dev/ip ip_forwarding查看是否關閉IP轉發(fā)，返回值應為0操作步驟1、執(zhí)行備份記錄需要修改的可調參數(shù)值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、執(zhí)行下列命令，設置參數(shù)使參數(shù)在當前系統(tǒng)狀態(tài)下臨時生效：#ndd -set /dev/ip ip_forwarding 0建立啟動項，使參數(shù)重啟后永久生效：#cd /etc/rc.config.d#cat nddconf# Dont ip forwardingTRANSPORT_NAME0=ipNDD_NAME0= ip_forwardingNDD_VALUE0=0EOF 回退操作1、使用ndd -set恢復修改前的參數(shù)2、執(zhí)行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf風險說明可能導致路由錯誤，無法通信。5.2. 關閉轉發(fā)源路由包配置項名稱關閉轉發(fā)源路由包檢查方法執(zhí)行：#ndd -get /dev/ip ip_forward_src_routed查看是否關閉轉發(fā)源路由包，返回值應為0操作步驟1、執(zhí)行備份記錄需要修改的可調參數(shù)值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、執(zhí)行下列命令，設置參數(shù)使參數(shù)在當前系統(tǒng)狀態(tài)下臨時生效：#ndd -set /dev/ip ip_forward_src_routed 0建立啟動項，使參數(shù)重啟后永久生效：#cd /etc/rc.config.d#cat nddconf# Drop source-routed packetsTRANSPORT_NAME1=ipNDD_NAME1=ip_forward_src_routedNDD_VALUE1=0EOF 回退操作1、使用ndd -set恢復修改前的參數(shù)2、執(zhí)行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf風險說明可能導致路由錯誤，無法通信。5.3. 增大最大半連接數(shù)防范SYN攻擊配置項名稱增大最大半連接數(shù)檢查方法執(zhí)行：# ndd -get /dev/tcp tcp_syn_rcvd_max查看返回值應最小為4096操作步驟1、執(zhí)行備份記錄需要修改的可調參數(shù)值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、執(zhí)行下列命令，設置參數(shù)使參數(shù)在當前系統(tǒng)狀態(tài)下臨時生效：#ndd -set /dev/tcp tcp_syn_rcvd_max 4096建立啟動項，使參數(shù)重啟后永久生效：#cd /etc/rc.config.d#cat nddconf# Increase size of half-open connection queueTRANSPORT_NAME2=tcpNDD_NAME2=tcp_syn_rcvd_maxNDD_VALUE2=4096EOF 回退操作1、使用ndd -set恢復修改前的參數(shù)2、執(zhí)行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf風險說明可能影響網絡應用5.4. 關閉ICMP重定向配置項名稱關閉ICMP重定向檢查方法執(zhí)行：#ndd -get /dev/ip ip_send_redirects查看是否關閉ICMP重定向，返回值應為0操作步驟1、執(zhí)行備份記錄需要修改的可調參數(shù)值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、執(zhí)行下列命令，設置參數(shù)使參數(shù)在當前系統(tǒng)狀態(tài)下臨時生效：#ndd -set /dev/ip ip_send_redirects 0建立啟動項，使參數(shù)重啟后永久生效：#cd /etc/rc.config.d#cat nddconf# Dont send ip redirectsTRANSPORT_NAME3=ipNDD_NAME3= ip_send_redirectsNDD_VALUE3=0EOF 回退操作1、使用ndd -set恢復修改前的參數(shù)2、執(zhí)行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf風險說明可能導致路由錯誤，無法通信。5.5. 關閉響應echo廣播配置項名稱關閉響應echo廣播檢查方法執(zhí)行：#ndd -get /dev/ip ip_forward_directed_broadcasts#ndd -get /dev/ip ip_respond_to_echo_broadcast查看是否關閉IP轉發(fā)，返回值應為0操作步驟1、執(zhí)行備份記錄需要修改的可調參數(shù)值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、執(zhí)行下列命令，設置參數(shù)使參數(shù)在當前系統(tǒng)狀態(tài)下臨時生效：#ndd -set /dev/ip ip_forward_directed_broadcasts 0#ndd -set /dev/ip ip_respond_to_echo_broadcast 0建立啟動項，使參數(shù)重啟后永久生效：#cd /etc/rc.config.d#cat nddconf# Dont forward directed broadcastsTRANSPORT_NAME4=ipNDD_NAME4=ip_forward_directed_broadcastsNDD_VALUE4=0# Dont respond to broadcast echo requestsTRANSPORT_NAME5=ipNDD_NAME5=ip_respond_to_echo_broadcastNDD_VALUE5=0EOF#chown root:sys nddconf#chmod go-w,ug-s nddconf回退操作1、使用ndd -set恢復修改前的參數(shù)2、執(zhí)行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf風險說明需確認服務器用途5.6. 關閉響應地址掩碼和時間戳廣播防止探測配置項名稱關閉響應地址掩碼和時間戳廣播防止探測檢查方法執(zhí)行：#ndd -get /dev/ip ip_respond_to_address_mask_broadcast#ndd -get /dev/ip ip_respond_to_timestamp_broadcast返回值應為0操作步驟1、執(zhí)行備份記錄需要修改的可調參數(shù)值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、執(zhí)行下列命令，設置參數(shù)使參數(shù)在當前系統(tǒng)狀態(tài)下臨時生效：#ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0#ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0建立啟動項，使參數(shù)重啟后永久生效：#cd /etc/rc.config.d#cat nddconf# Dont respond to ICMP address mask requestsTRANSPORT_NAME6=ipNDD_NAME6=ip_respond_to_address_mask_broadcastNDD_VALUE6=0# Dont respond to broadcast ICMP tstamp reqsTRANSPORT_NAME7=ipNDD_NAME7=ip_respond_to_timestamp_broadcastNDD_VALUE7=0EOF#chown root:sys nddconf#chmod go-w,ug-s nddconf回退操作1、使用ndd -set恢復修改前的參數(shù)2、執(zhí)行：#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf風險說明可能影響網絡通信6. 日志安全配置要求6.1. 非日志服務器禁止接收syslog配置項名稱非日志服務器禁止接收syslog檢查方法執(zhí)行：#cat /etc/rc.config.d/syslogd檢查是否存在SYSLOGD_OPTS=-N操作步驟1、執(zhí)行備份#cp -p /etc/rc.config.d/syslogd /etc/rc.config.d/syslogd_bak2、執(zhí)行下列命令，添加SYSLOGD_OPTS=-N#ch_rc -a -p SYSLOGD_OPTS=-N /etc/rc.config.d/syslogd3、重啟syslogd#/sbin/init.d/syslogd stop#/sbin/init.d/syslogd start回退操作#cp -p /etc/rc.config.d/syslogd_bak /etc/rc.config.d/syslogd風險說明低風險6.2. 啟用inetd日志記錄配置項名稱啟用inetd日志記錄檢查方法執(zhí)行：#cat /etc/rc.config.d/netdaemons | grep IN