Linux系统加固:限制用户对资源的使用禁止IP源路由更改主机解析地址的顺序设置umask值

Linux系统加固:限制用户对资源的使用&禁止IP源路由&更改主机解析地址的顺序&设置umask值

    • 1.1 限制用户对资源的使用
    • 1.2 禁止IP源路由
    • 1.3 更改主机解析地址的顺序
    • 1.4 禁止ip路由转发
    • 1.5 设置umask值


💖The Begin💖点点关注,收藏不迷路💖

1.1 限制用户对资源的使用

/etc/security/limits.conf是Linux系统中用来配置用户资源限制的文件。通过编辑这个文件,您可以为特定用户或用户组设置各种资源限制,如最大打开文件数、最大CPU时间、最大内存限制等。

在/etc/security/limits.conf文件中,每行包含以下字段:

domain:指定要应用限制的用户或用户组名。设置需要被限制的用户名,组名前面加@和用户名区别。也可以用通配符*来做所有用户的限制。取值可以是:

1、用户名
2、组名(组名前面加’@'以区别用户名)
3、*(表示所有用户)

type:指定要限制的资源类型,如soft(软限制)和hard(硬限制)。

1、soft 表示警告的设定,可以超过这个设定值,但是超过会有警告信息
2、hard 表示严格的设定,必定不能超过这个设定的值

item:指定要限制的资源类型,如:

core:限制内核文件的大小
data:最大数据大小
fsize:最大文件大小
memlock:最大锁定内存地址空间
nofile:打开文件的最大数目
rss:最大持久设置大小
stack:最大栈大小
cpu:以分钟为单位的最多CPU时间
nproc:进程的最大数目
as:地址空间限制

value:指定资源的具体限制值。

语法:<domain> <type> <item> <value>

加固方案:

1、编辑/etc/security/limits.conf文件

vi /etc/security/limits.conf

2、添加如下类似配置,参数根据你实际需求自己设置:

# 示例配置

# 设置用户`mfs`的最大打开文件数为10000
mfs soft nofile 10000
mfs hard nofile 10000

# 设置用户组`@group01`的最大CPU时间为1小时
@group01 soft cpu 60
@group01 hard cpu 60

# 设置所有用户的最大栈大小为8MB,进程的最大持久设置大小2M
* soft stack 8192
* hard stack 8192

* soft rss 2048
* hard rss 2048

# 设置用户`zyl`的最大锁定内存地址空间为256MB
zyl soft memlock 262144
zyl hard memlock 262144

# 设置所有用户的nproc(进程数)的软限制为4096,硬限制为8192。
* soft nproc 4096
* hard nproc 8192

这个示例展示了如何在/etc/security/limits.conf文件中配置不同用户和用户组的资源限制。你可以根据需要添加或修改其他限制项和数值。

在修改完/etc/security/limits.conf文件后,需要重新登录用户或重启系统才能使更改生效。

1.2 禁止IP源路由

禁止IP源路由是一种网络安全措施,旨在防止特定类型的网络攻击,主要包括源路由攻击。以下是禁止IP源路由的原因:

1、源路由攻击防范: 源路由攻击是一种网络攻击手法,攻击者可以通过在IP数据包的选项字段中设置源路由信息,强制数据包按照指定的路径传输,绕过网络中的安全控制点。禁止IP源路由可以有效防止这种攻击。

2、防止IP地址欺骗: 通过源路由,攻击者可以伪造源IP地址,使得数据包似乎来自于一个信任的主机或网络。禁止IP源路由可以减少IP地址欺骗的可能性,提高网络的安全性。

3、减少网络风险: 启用IP源路由可能会增加网络的复杂性和风险,因为数据包可以绕过正常的路由路径,导致网络不稳定或容易受到攻击。禁止IP源路由可以降低这种风险。

加固步骤:

1、执行以下命令查看参数accept_source_route的值。

cat /proc/sys/net/ipv4/conf/*/accept_source_route

在这里插入图片描述

判定依据:accept_source_route的值为0则合规,否则为不合规。

2、如果此项检查失败,请执行以下命令进行修复:

for f in /proc/sys/net/ipv4/conf/*/accept_source_route
do
   echo 0 > $f
done

3、验证结果:

cat /proc/sys/net/ipv4/conf/*/accept_source_route

在这里插入图片描述

请注意,这个设置在系统重启后会失效。如果想要永久禁止IP源路由,可以编辑/etc/sysctl.conf文件并添加以下行:

net.ipv4.conf.all.accept_source_route = 0

在这里插入图片描述

保存文件后,使更改生效。

sysctl -p

补充:/etc/sysctl.conf文件参数解释:

#禁用包过滤功能
net.ipv4.ip_forward = 0 
#启用源路由核查功能
net.ipv4.conf.default.rp_filter = 1 
#禁用所有IP源路由
net.ipv4.conf.default.accept_source_route = 0 
#使用sysrq组合键是了解系统目前运行情况,为安全起见设为0关闭
kernel.sysrq = 0 
#控制core文件的文件名是否添加pid作为扩展
kernel.core_uses_pid = 1 
#开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理
net.ipv4.tcp_syncookies = 1 
#每个消息队列的大小(单位:字节)限制
kernel.msgmnb = 65536 
#整个系统最大消息队列数量限制
kernel.msgmax = 65536 
#单个共享内存段的大小(单位:字节)限制,计算公式64G*1024*1024*1024(字节)
kernel.shmmax = 68719476736 
#所有内存大小(单位:页,1= 4Kb),计算公式16G*1024*1024*1024/4KB()
kernel.shmall = 4294967296 
#timewait的数量,默认是180000
net.ipv4.tcp_max_tw_buckets = 6000 
#开启有选择的应答
net.ipv4.tcp_sack = 1 
#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
net.ipv4.tcp_window_scaling = 1 
#TCP读buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP写buffer
net.ipv4.tcp_wmem = 4096 131072 1048576  
#为TCP socket预留用于发送缓冲的内存默认值(单位:字节)
net.core.wmem_default = 8388608
#为TCP socket预留用于发送缓冲的内存最大值(单位:字节)
net.core.wmem_max = 16777216 
#为TCP socket预留用于接收缓冲的内存默认值(单位:字节) 
net.core.rmem_default = 8388608
#为TCP socket预留用于接收缓冲的内存最大值(单位:字节)
net.core.rmem_max = 16777216
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144 
#web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值
net.core.somaxconn = 262144 
#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)
net.ipv4.tcp_max_orphans = 3276800 
#记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128
net.ipv4.tcp_max_syn_backlog = 262144 
#时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉
net.ipv4.tcp_timestamps = 0 
#为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYNACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
net.ipv4.tcp_synack_retries = 1 
#在内核放弃建立连接之前发送SYN包的数量
net.ipv4.tcp_syn_retries = 1 
#开启TCP连接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1 
#开启TCP连接复用功能,允许将time_wait sockets重新用于新的TCP连接(主要针对time_wait连接)
net.ipv4.tcp_tw_reuse = 1 
#1st低于此值,TCP没有内存压力,2nd进入内存压力阶段,3rdTCP拒绝分配socket(单位:内存页)
net.ipv4.tcp_mem = 94500000 915000000 927000000  
#如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些。
net.ipv4.tcp_fin_timeout = 15 
#表示当keepalive起用的时候,TCP发送keepalive消息的频度(单位:秒)
net.ipv4.tcp_keepalive_time = 30 
#对外连接端口范围
net.ipv4.ip_local_port_range = 2048 65000
#表示文件句柄的最大数量
fs.file-max = 102400
 
# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
 
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
 
# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
 
# 开启并记录欺骗,源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
 
# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
 
# 开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
 
# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
 
# 不充当路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
 
# 开启execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1
 
# IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1
 
# 优化LB使用的端口
 
# 增加系统文件描述符限制
fs.file-max = 65535
 
# 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
kernel.pid_max = 65536
 
# 增加系统IP端口限制
net.ipv4.ip_local_port_range = 2000 65000
 
# 增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
 
# 增加Linux自动调整TCP缓冲区限制
# 最小,默认和最大可使用的字节数
# 最大值不低于4MB,如果你使用非常高的BDP路径可以设置得更高
 
# Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1

1.3 更改主机解析地址的顺序

编辑文件/etc/host.conf,看是否存在如下内容:如果没有,在空白处加入下面三行:

order hosts,bind
multi on
nospoof on

参数含义:

1、order hosts,bind : 设置首先通过DNS解析IP地址,然后通过hosts文件解析。

2、multi on: 设置主机可以拥有多个IP地址(比如有多个以太口网卡)。

3、nospoof on :设置启用对本机未经许可的IP欺骗保护。

这个配置指定了主机解析的顺序为首先查找/etc/hosts文件,然后再向DNS服务器查询。multi on表示允许主机名对应多个IP地址,nospoof on表示启用地址欺骗保护。

判定依据:文件/etc/host.conf存在如上配置则合规,否则不合规。

1.4 禁止ip路由转发

使用如下命令查看net.ipv4.ip_forward的值:

sysctl -n net.ipv4.ip_forward

在这里插入图片描述

判定依据:net.ipv4.ip_forward的值为0表示合规,否则不合规。

加固步骤:

1、备份文件:

cp -p /etc/sysctl.conf /etc/sysctl.conf_bak

2、vi /etc/sysctl.conf文件加上

net.ipv4.ip_forward=0

3、使配置文件生效

sysctl -p

在这里插入图片描述

1.5 设置umask值

设置umask值是为了控制新创建文件和目录的默认权限。umask值是一个八进制数,用来屏蔽掉文件和目录的权限位。具体来说,umask值中的每一位代表了对应权限位是否被屏蔽掉。

umask值的作用是确保新创建的文件和目录不会拥有过于宽松的权限,从而提高系统的安全性。

默认情况下,umask值通常设置为022,即屏蔽掉其他用户的写权限,保留所有者和所属组的读、写、执行权限。

检测方法

查看/etc/profile文件,检查umask值

cat /etc/profile|egrep -v "^#|\""|grep "umask"|tail -1

判定依据: uamsk值为022则合规;否则不合规。

加固步骤

1、执行备份

 cp /etc/profile /etc/profile.bak

2、编辑/etc/profile文件

vi /etc/profile,添加内容(存在则修改):

 umask 022

保存退出。

3、立即生效

source /etc/profile

在这里插入图片描述


💖The End💖点点关注,收藏不迷路💖

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/420345.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

外泌体相关基因肝癌临床模型预测——2-3分纯生信文章复现——02.数据格式整理(2)

内容如下&#xff1a; 1.外泌体和肝癌TCGA数据下载 2.数据格式整理 3.差异表达基因筛选 4.预后相关外泌体基因确定 5.拷贝数变异及突变图谱 6.外泌体基因功能注释 7.LASSO回归筛选外泌体预后模型 8.预后模型验证 9.预后模型鲁棒性分析 10.独立预后因素分析及与临床的…

alpine创建lnmp环境alpine安装nginx+php5.6+mysql

前言 制作lnmp环境&#xff0c;你可以在alpine基础镜像中安装相关的服务&#xff0c;也可以直接使用Dockerfile创建自己需要的环境镜像。 注意&#xff1a;提前确认自己的alpine版本&#xff0c;本次创建基于alpine3.6进行创建&#xff0c;官方在一些版本中删除了php5 1、拉取…

Java 小项目开发日记 04(文章接口的开发、oss图片上传)

Java 小项目开发日记 04&#xff08;文章接口的开发、oss图片上传&#xff09; 项目目录 配置文件&#xff08;pom.xml&#xff09; <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:sc…

面试问答总结之并发编程

文章目录 &#x1f412;个人主页&#x1f3c5;JavaEE系列专栏&#x1f4d6;前言&#xff1a;&#x1f380;多线程的优点、缺点&#x1f415;并发编程的核心问题 &#xff1a;不可见性、乱序性、非原子性&#x1fa80;不可见性&#x1fa80;乱序性&#x1fa80;非原子性&#x1…

Linux - 权限概念

Linux下有两种用户&#xff1a;超级用户&#xff08;root&#xff09;、普通用户。 超级用户&#xff1a;可以再linux系统下做任何事情&#xff0c;不受限制普通用户&#xff1a;在linux下做有限的事情超级用户的命令提示符是“#”&#xff0c;普通用户的命令提示符是“$” 命…

深入探究Python多进程编程:Multiprocessing模块基础与实战【第98篇—Multiprocessing模块】

深入探究Python多进程编程&#xff1a;Multiprocessing模块基础与实战 在Python编程中&#xff0c;多进程处理是一项关键的技术&#xff0c;特别是在需要处理大规模数据或执行耗时任务时。为了充分利用多核处理器的优势&#xff0c;Python提供了multiprocessing模块&#xff0…

G8-ACGAN理论

本文为&#x1f517;365天深度学习训练营 中的学习记录博客 原作者&#xff1a;K同学啊|接辅导、项目定制 我的环境&#xff1a; 1.语言&#xff1a;python3.7 2.编译器&#xff1a;pycharm 3.深度学习框架Pytorch 1.8.0cu111 一、对比分析 前面的文章介绍了CGAN&#xf…

Python批量提取文件夹中图片的名称及路径到指定的.txt文件中

目录 一、代码二、提取效果 一、代码 import os# 定义要保存的文件名 file_name "TestImage/Image_Visible_Gray.txt"# 读取文件夹路径 folder_path "TestImage/Image_Visible_Gray"# 遍历文件夹中的所有文件 with open(file_name, "w") as f…

132557-72-3,2,3,3-三甲基-3H-吲哚-5-磺酸,具有优异的反应活性和光学性能

132557-72-3&#xff0c;5-Sulfo-2,3,3-trimethyl indolenine sodium salt&#xff0c;2,3,3-三甲基-3H-吲哚-5-磺酸&#xff0c;具有优异的反应活性和光学性能&#xff0c;一种深棕色粉末 您好&#xff0c;欢迎来到新研之家 文章关键词&#xff1a;132557-72-3&#xff0c;5…

使用maven项目引入jQuery

最近在自学 springBoot &#xff0c;期间准备搞一个前后端不分离的东西&#xff0c;于是需要在 maven 中引入jQuery 依赖&#xff0c;网上百度了很多&#xff0c;这里来做一个总结。 1、pom.xml 导入依赖 打开我们项目的 pom.xml 文件&#xff0c;输入以下坐标。这里我使用的是…

[BUUCTF]-Reverse:reverse3解析

查看ida 从下图的/3和*4可以推断得出来是base64加密。 ida里大致意思就是我们输入的字符串经过base64加密&#xff0c;循环递减&#xff0c;最后等于str2&#xff0c;那我们输入的字符串就是flag。 完整exp&#xff1a; import base64 liste3nifIH9b_CndH print(len(list))fl…

2024年3月腾讯云服务器优惠价格曝光!这价格没谁了

腾讯云优惠活动2024新春采购节活动上线&#xff0c;云服务器价格已经出来了&#xff0c;云服务器61元一年起&#xff0c;配置和价格基本上和上个月没什么变化&#xff0c;但是新增了8888元代金券和会员续费优惠&#xff0c;腾讯云百科txybk.com整理腾讯云最新优惠活动云服务器配…

深度伪造,让网络钓鱼更加难以辨别

网络钓鱼一直是安全领域的一个突出话题&#xff0c;尽管这类诈骗形式已经存在了几十年&#xff0c;依旧是欺诈攻击或渗透组织的最有效方法之一。诈骗分子基于社会工程原理&#xff0c;通过邮件、网站以及电话、短信和社交媒体&#xff0c;利用人性&#xff08;如冲动、不满、好…

智能分析网关V4电瓶车检测与烟火算法,全面提升小区消防安全水平

2024年2月23日&#xff0c;南京市某小区因电瓶车停放处起火引发火灾事故&#xff0c;造成巨大人员伤亡和损失。根据国家消防救援局的统计&#xff0c;2023年全国共接报电动自行车火灾2.1万起。电瓶车火灾事故频发&#xff0c;这不得不引起我们的重视和思考&#xff0c;尤其是在…

用于游戏开发的顶级 PYTHON 框架

一、说明 我们试图用python开发游戏&#xff0c;一旦产生这个念头&#xff0c;就伴随这样一个问题&#xff1a;当今用于构建游戏的领先 Python 框架有哪些&#xff1f;python下&#xff0c;支持游戏开发平台有哪些优势&#xff1f;我们在这篇博文中告诉你。 二、高级游戏平台简…

小甲鱼Python07 函数初级

一、创建和调用函数 pass语句表示一个空的代码块&#xff0c;我们经常先写好函数&#xff0c;pass占一个坑&#xff0c;等规划好之后再来填坑。 函数也是可以指定参数的&#xff0c;我们会把参数传进去用来替代形参。 在Python里如果想要返回值&#xff0c;不需要指定函数的返…

高侧开关芯片四通道 40V 50mΩ车规级带反向电流保护功能负载检测高边开关

概述 PC8845/G是四通道、高侧功率具有集成NMOS功率FET的开关&#xff0c;以及电荷泵。该设备集成了高级 保护功能&#xff0c;例如负载电流限制&#xff0c;通过功率限制进行过载主动管理可配置闩锁关闭的超温停机。全面诊断和高精度电流感应这些功能实现了对负载的智能控制。…

2326. 王者之剑(网络流,最小割,最大权独立集,最小点权覆盖)

活动 - AcWing 给出一个 nm 网格&#xff0c;每个格子上有一个价值 vi,j 的宝石。 Amber 可以自己决定起点&#xff0c;开始时刻为第 0 秒。 以下操作&#xff0c;在每秒内按顺序执行。 若第 i 秒开始时&#xff0c;Amber 在 (x,y)&#xff0c;则 Amber 可以拿走 (x,y) 上的…

LeetCode刷题--- 乘积为正数的最长子数组长度

个人主页&#xff1a;元清加油_【C】,【C语言】,【数据结构与算法】-CSDN博客 个人专栏 力扣递归算法题 http://t.csdnimg.cn/yUl2I 【C】 ​​​​​​http://t.csdnimg.cn/6AbpV 数据结构与算法 ​​​http://t.csdnimg.cn/hKh2l 前言&#xff1a;这个专栏主要讲述动…

3.1作业

作业要求&#xff1a; 通过w(红色臂角度增大)s&#xff08;红色臂角度减小&#xff09;d&#xff08;蓝色臂角度增大&#xff09;a&#xff08;蓝色臂角度减小&#xff09;按键控制机械臂 程序代码&#xff1a; #include<myhead.h> #define SER_IP "192.168.126.…