linux系统安全配置要求

由天下分享时间：2024/11/24 2:45:34 加入收藏我要投稿点赞

1、使用ndd -set恢复修改前的参数回退操作 2、执行： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明可能导致路由错误，无法通信。 5.3. 增大最大半连接数防范SYN攻击

配置项名称增大最大半连接数执行：检查方法 # ndd -get /dev/tcp tcp_syn_rcvd_max 查看返回值应最小为4096 1、执行备份记录需要修改的可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、执行下列命令，设置参数使参数在当前系统状态下临时生效： #ndd -set /dev/tcp tcp_syn_rcvd_max 4096 操作步骤建立启动项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <> nddconf # Increase size of half-open connection queue TRANSPORT_NAME[2]=tcp NDD_NAME[2]=tcp_syn_rcvd_max .

NDD_VALUE[2]=4096 EOF 1、使用ndd -set恢复修改前的参数回退操作 2、执行： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明可能影响网络应用 5.4. 关闭ICMP重定向

配置项名称关闭ICMP重定向执行：检查方法 #ndd -get /dev/ip ip_send_redirects 查看是否关闭ICMP重定向，返回值应为0 1、执行备份记录需要修改的可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、执行下列命令，设置参数使参数在当前系统状态下临时生效：操作步骤 #ndd -set /dev/ip ip_send_redirects 0 建立启动项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <> nddconf # Don't send ip redirects .

TRANSPORT_NAME[3]=ip NDD_NAME[3]= ip_send_redirects NDD_VALUE[3]=0 EOF 1、使用ndd -set恢复修改前的参数回退操作 2、执行： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明可能导致路由错误，无法通信。 5.5. 关闭响应echo广播

配置项名称关闭响应echo广播执行： #ndd -get /dev/ip ip_forward_directed_broadcasts 检查方法 #ndd -get /dev/ip ip_respond_to_echo_broadcast 查看是否关闭IP转发，返回值应为0 1、执行备份记录需要修改的可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 操作步骤 2、执行下列命令，设置参数使参数在当前系统状态下临时生效： #ndd -set /dev/ip ip_forward_directed_broadcasts 0 #ndd -set /dev/ip ip_respond_to_echo_broadcast 0 .

建立启动项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <> nddconf # Don't forward directed broadcasts TRANSPORT_NAME[4]=ip NDD_NAME[4]=ip_forward_directed_broadcasts NDD_VALUE[4]=0 # Don’t respond to broadcast echo requests TRANSPORT_NAME[5]=ip NDD_NAME[5]=ip_respond_to_echo_broadcast NDD_VALUE[5]=0 EOF #chown root:sys nddconf #chmod go-w,ug-s nddconf 1、使用ndd -set恢复修改前的参数回退操作 2、执行： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明需确认服务器用途 5.6. 关闭响应地址掩码和时间戳广播防止探测

配置项名称关闭响应地址掩码和时间戳广播防止探测执行：检查方法 #ndd -get /dev/ip ip_respond_to_address_mask_broadcast .

#ndd -get /dev/ip ip_respond_to_timestamp_broadcast 返回值应为0

1、执行备份

记录需要修改的可调参数值

#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、执行下列命令，设置参数使参数在当前系统状态下临时生效：

#ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0 #ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0 建立启动项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <> nddconf

操作步骤

# Don't respond to ICMP address mask requests TRANSPORT_NAME[6]=ip

NDD_NAME[6]=ip_respond_to_address_mask_broadcast NDD_VALUE[6]=0

# Don't respond to broadcast ICMP tstamp reqs TRANSPORT_NAME[7]=ip

NDD_NAME[7]=ip_respond_to_timestamp_broadcast NDD_VALUE[7]=0 EOF

#chown root:sys nddconf #chmod go-w,ug-s nddconf

回退操作 1、使用ndd -set恢复修改前的参数