linux系统安全加固手册模板

系统安全加固手册

1帐户安全配置要求

1.1创建/etc/shadow影子口令文件

配置项名称设置影子口令模式

实施：

检验方法#more/etc/shadow

杳看是否存在该文件

1、实施备份：

#cp-p/etc/passwd/etc/passwd_bak

操作步骤

2、切换到影子口令模式：

#pwconv

实施：

回退操作#pwunconv

#cp/etc/passwd_bak/etc/passwd

风险说明系统默认使用标准口令模式，切换不成功可能造成整个用户管理失效

1.2建立多帐户组，将用户账号分配到对应帐户组

配置项名称建立多帐户组，将用户账号分配到对应帐户组

1、实施：

#more/etc/group

检验方法

#more/etc/shadow

查看每个组中用户或每个用户属于那个组

2、确定需要修改用户组用户

1、实施备份：

#cp-p/etc/group/etc/group_bak

操作步骤

2、修改用户所属组：

#usermod-gQroupusername

实施：

回退操作

#cp/etc/group_bak/etc/group

风险说明修改用户所属组可能造成一些应用无法正常运行

1.3删除或锁定可能无用帐户

配置项名称删除或锁定可能无用帐户

1、实施：

#more/etc/passwd

检验方法查看是否存在以下可能无用帐户：

hpsmh、named、uucp、nuucp.adm、daemon、bin、Ip

2、和管理员确定需要锁定帐户

1＞实施备份：

#cp-p/etc/passwd/etc/passwd_bak

操作步骤

2、锁定无用帐户：

#passwd-1username

实施：

回退操作

#cp/etc/passwd_bak/etc/passwd

风险说明锁定一些用户可能造成一些应用无法正常运行

1.4删除可能无用用户组

配置项名称删除可能无用用户组

1、实施：

#more/etc/group

检验方法鱼:看是否存在以卜可能无用用户组：

Ipnuucpnogroup

2、和管理员确定需要删除用户组

1、实施备份：

#cp-p/etc/group/etc/group_bak

操作步骤

2、删除无用用户组：

#groupdelgroupname

实施：

回退操作

#cp/etc/group_bak/etc/group

风险说明删除一些组可能造成一些应用尢法止常运行

1.5检验是否存在空密码帐户

配置项名称检验是否存在空密码帐户

实施下列命令，检验是否存在空密码帐户

检验方法logins-p

应无回结果

1、实施备份：

操作步骤#cp-p/etc/passwd/etc/passwd_bak

#cp-p/etc/shadow/etc/shadow_bak

#vi/etc/default/security

修改以下各项复杂度参数：

MIN_PASSW0RD_LENGTH=6

PASSWORD_MIN_UPPER_CASE_CHARS=1

PASSWORD_MIN_LOWER_CASE_CHARS=1

PASSWORD_MIN_DIGIT_CHARS=1

PASSWORD_MIN_SPECIAL_CHARS=1

实施：

回退操作#cp/etc/defau1t/security_bak/etc/defau1t/security

#cp/etc/passwd_bak/etc/passwd

风险说明可能造成非root用户修改自己密码时数次不成功

1.7设置帐户口令生存周期

配置项名称设置帐户口令生存周期

实施：

#more/etc/defau1t/security

检验方法查看是否存在以下各项参数：

PASSWORD_MAXDAYS=90

PASSWORD_WARNDAYS=28

1、实施备份：

#cp-p/etc/default/security/etc/default/security_bak

操作步骤#cp-p/etc/passwd/etc/passwd_bak

2、实施下列命令，编辑/etc/default/security

#vi/etc/default/security

修改以下各项参数：

PASSWORD_MAXDAYS=90

PASSWORD_WARNDAYS=28

实施：

回退操作#cp/etc/defau1t/security.bak/etc/defau1t/security

#cp/etc/passwd_bak/etc/passwd

风险说明可能在密码过期后影响正常使用及维护

1.8设定密码历史，不能反复使用最近5次（含5次）内已使用口令

配置项名称应配置设备，使用户不能反复使用最近5次（含5次）内已使用口令

实施：

#more/etc/default/security

检验方法

查看是否存在以下参数：

PASSW0RD_HIST0RY_DEPTH=5

1、实施备份：

#cp-p/etc/default/security/etc/default/security_bak

#cp-p/etc/passwd/etc/passwd_bak

操作步骤2、实施下列命令，编辑/etc/default/security

#vi/etc/default/security

修改以下参数：

PASSW0RD_HIST0RY_DEPTH=5

实施：

回退操作#cp/etc/default/security_bak/etc/default/security

#cp/etc/passwd_bak/etc/passwd

风险说明低风险

1.9限制root用户远程登录

配置项名称root用户远程登录限制

实施：

#more/etc/securetty

检验是否有下列行：

检验方法Console

实施：

#more/opt/ssh/etc/sshd_config

检验是否有PermitRootLoginno

1、实施备份：

#cp-p/etc/securetty/etc/securetty_bak

#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak

2、新建一个一般用户并设置高强度密码：

#useraddusername

操作步骤#passwdusername

3、严禁root用户远程登录系统：

#vi/etc/securetty

去掉console前面注释，保留退出

#vi/opt/ssh/etc/sshd_config

将PermitRootLogin后yes改为no

实施：

回退操作

#cp/etc/securetty_bak/etc/securetty

#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config

严重改变维护人员操作习惯，必需新建一个能够实施交互式登录一般用户并

风险说明

能够经过SU提升权限，可能带来新威胁

1.10检验passwd、group文件权限设置

配置项名称检验passwd、group文件权限设置

实施：

检验方法

#ls-1/etc/passwd/etc/group

1、实施备份：

#cp-p/etc/passwd/etc/passwd_bak

#cp-p/etc/group/etc/group_bak

操作步骤

2、修改文件权限：

#chmod644/etc/passwd

#chmod644/etc/group

实施：

回退#cp/etc/passwd_bak/etc/passwd

#cp/etc/group_bak/etc/group

风险说明权限设置不妥可能造成无法实施用户管理，井可能造成一些应用运行异常

1.11系统umask设置

配置项名称系统umask设置

实施：

检验方法

#more/etc/profile

检验系统umask值

1、实施备份：

#cp-p/etc/profile/etc/profile_bak

操作步骤2、修改umask设置:

#vi/etc/profile

将umask值修改为027,保留退出

实施：

回退操作

#cp/etc/profile_bak/etc/profile

umask设置不妥可能造成一些应用无法正确自动创建目录或文件，从而运行

风险说明

异常

2访问、认证安全配置要求

2.1远程登录用消telnet采取ssh

配置项名称远程登录用消telnet采取ssh

查看SSH、telnet服务状态：

#ps-elf|grepssh

检验方法#ps-elf|greptelnet

SSH服务状态查看结果为:online

telnet服务状态查看结果为：disabled

1、备份#cp-p/etc/inetd.conf/etc/inetd.conf_bak

2、修改/etc/inetd.conf文件，将telnet行注释掉

操作步骤

#telnetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd

3、重启服务#inetd-c

4、安装ssh软件包，经过#/opt/ssh/sbin/sshdstart来开启SSH。

实施：

#cp-p/etc/inetd.conf_bak/etc/inetd.conf

开启telnet

回退操作

#/usr/lbin/telnetdstart

停止SSH

#/opt/ssh/sbin/sshdstop

风险说明影响维护人员操作习惯，需要重启服务

2.2限制系统帐户FTP登录

限制root、daemon,bin、sys、adm、Ip、uucp、nuucp、nobody、hpdb>

配置项名称

useradm等系统帐户FTP登录

实施：

检验方法#cat/etc/ftpd/ftpusers

查看具体严禁FTP登陆系统用户名单

1、实施备份：

#cp-p/etc/ftpd/ftpusers/etc/ftpd/ftpusers_bak

2、严禁用户FTP登录系统：

操作步骤

#vi/etc/ftpd/ftpusers

每一个帐户一行，添加以下帐户严禁FTP登录

rootsdaemon>bin、sys、adm、Ip、uucp>nuucp、nobody、hpdb、useradm

实施：

回退操作

#cp/etc/ftpd/ftpusers_bak/etc/ftpd/ftpusers

风险说明严禁一些帐户登录FTP可能造成一些应用无法正常运行

2.3配置许可访问inetd服务IP范围或主机名

配置项名称配置许可访问inetd服务IP范围或主机名

实施：

检验方法#cat/var/adm/inetd.sec

查:看杓没有类似logindenytestlan配置

1、实施备份：

#cp-p/var/adm/inetd.sec/var/adm/inetd.sec_bak

2、添加许可访问inetd服务IP范围或主机名：

操作步骤

#vi/var/adm/inetd.sec

根据以下格式添加IP范围或主机名

servicename{allow|deny){hostaddrs|hostnames|netaddrs|

netnames}

实施：

回退操作

#cp/var/adm/inetd.sec_bak/var/adm/inetd.sec

风险说明需确定IP信任范围，设置不妥会造成网络服务通信异常

2.4严禁除root外帐户使用at/cron

配置项名称严禁除root外帐户使用at/cron

实施：

#cd/var/adm/cron

#catcron.allow

检验方法

#catat.allow

查看是否存在root：

实施：

#catcron.deny

#catat.deny

检验是否存在cron.deny和at.deny文件，若存在，应删除。

1>实施备份

#cd/var/adm/cron

#cp-pcron.denycron.deny_bak

#cp-pat.denyat.deny_bak

#cp-pcron.allowcron.allow_bak

#cp-pat.allowat.allow_bak

操作步骤2、添加root到cron.allow和at.allow,并删除cron.deny和at.deny。

#cd/var/adm/cron

#rm-fcron.denyat.deny

#echoroot>cron.allow

#echoroot>at.allow

#chownroot:syscron.allowat.allow

#chmod400cron.allowat.allow

#cd/var/adm/cron

#cp-pcron.deny_bakcron.deny

回退操作#cp-pat.deny_bakat.deny

#cp-pcron.allow_bakcron.allow

#cp-pat.allow_bakat.allow

风险说明除root外帐户不能使用at/cron,可能影响一些应用。

2.5设定连续认证失败次数超出6次（不含6次）锁定该账号

配置项名称配置当用户连续认证失败次数超出6次（不含6次），锁定该用户使用账号。

实施：

检验方法#cat/etc/default/security

检验是否存在AUTH_MAXTRIES=6

1、实施备份

#cp-p/etc/defauIt/security/etc/default/security_bak

操作步骤

2、实施下列命令，设置最大登录认证重试次数锁定帐户为6次

echoAUTH_MAXTRIES=6>>/etc/defaJIt/security

回退操作#cp-p/etc/defauIt/security_bak/etc/defauIt/security

root账号也在锁定限制范围内，一旦root被锁定，就需要光盘引导，所以该

风险说明

配置要慎用。

3文件系统安全配置要求

3.1关键目录和文件权限设置

配置项名称关键目录和文件权限设置

实施以下命令检验目录和文件权限设置情况：

#ls-1/etc/

检验方法#ls-1/tmp/

#ls-1/etc/defauIt/

#ls-1/etc/rc.config.d/

1、实施备份：

使用cp命令备份需要修改权限文件或目录

操作步骤

2、权限修改：

使用chmod命令修改文件或目录权限

回退操作使用cp命令恢复被修改权限文件或目录

或使用chmod命令恢复权限

风险说明修改一些关键配置文件权限可能造成系统功效或应用异常

3.2检验没有全部者文件或目录

配置项名称检验没有全部者文件或目录

实施：

检验方法#find/\(-nouser-o-nogroup\)-execIs-al{}\;

咨询管理员找到文件或目录是否应用所需

1、实施备份：

使用cp命令备份没有全部者文件或目录

操作步骤

2、使用chmod命令添加属主或删除没有全部者文件或目录：

#rm-rffilename

回退操作使用cp命令恢复被删除没有全部者文件或目录

风险说明实施检验会大量消耗系统资源，需要确定无全部者文件具体用途

4网络服务安全配置要求

4.1严禁NIS/NIS+服务以守护方法运行

配置项名称严禁NIS/NIS+服务以守护方法运行NetworkInformationSystem

实施：

#more/etc/rc.config.d/namesvrs

查看该文件中是否存在以下参数：

检验方法

NIS_MASTER_SERVER=O

NIS_SLAVE_SERVER=O

NIS_CLIENT=O

NISPLUS_SERVER=O

NISPLUS_CLIENT=O

1、实施备份：

#cp-p/etc/rc.config.d/namesvrs/etc/rc.config.d/namesvrs_bak

操作步骤2、编辑/etc/rc.confiq.d/namesvrs文件，设置参数：

#ch_rc-3-pNIS_MASTER_SERVER=O-pNIS_SLAVE_SERVER=O-p

NIS_CLIENT=O-pNISPLUS_SERVER=O-pNISPLUS_CLIENT=O

/etc/rc.config.d/namesvrs

回退操作#cp-p/etc/rc.config.d/namesvrs_bak/etc/rc.config.d/namesvrs

风险说明NIS/NIS+服务无法自动开启

4.2禁用打印服务以守护方法运行

配置项名称严禁打印服务以守护方法运行

实施：

#more/etc/rc.config.d/tps

查看该文件中是否存在XPRINTSERVERS=

检验方法#more/etc/rc.config.d/lp

查看该文件中是否存在LP=0

#more/etc/rc.config.d/pd

查看该文件中是否存在PD_CLIENT=O

1、实施备份：

#cp-p/etc/rc.config.d/tps/etc/rc.config.d/tps_bak

操作步骤#cp-p/etc/rc.config.d/lp/etc/rc.config.d/lp_bak

#cp-p/etc/rc.config.d/pd/etc/rc.config.d/pd_bak

2、设置参数：

#ch_rc-a-pXPRINTSERVERS="""/etc/rc.config.d/tps

#ch_rc-a-pLP=0/etc/rc.config.d/lp

#ch_rc-a-pPD_CLIENT=O/etc/rc.config.d/pd

回退操作#cp-p/etc/rc.config.d/namesvrs_bak/etc/rc.config.d/namesvrs

风险说明打印服务无法自动开启

4.3禁用SENDMAIL服务以守护方法运行

配置项名称严禁SENDMAIL服务以守护方法运行

实施：

检验方法#more/etc/rc.config.d/mailservs

查看该文件中是否存在SENDMAIL_SERVER=O

1、实施备份：

#cp-p/etc/rc.config.d/mailservs/etc/rc.config.d/mailservs_bak

#cp-p/var/spool/cron/crontabs/root/var/spool/cron/crontabs/root_bak

2、设置参数：

#ch_rc-a-pSENDMAIL_SERVER=O/etc/rc.config.d/mailservs

操作步骤

#cd/var/spool/cron/crontabs

#crontab-1>root.tmp

#echo'0****/usr/lib/sendmail-q'»root.tmp

#crontabroot.tmp

#rm-froot.tmp

#cp-p/etc/rc.config.d/mailservs/etc/rc.config.d/mailservs_bak

回退操作

#cp-p/var/spool/cron/crontabs/root/var/spool/cron/crontabs/root_bak

风险说明造成无法收发邮件，需确定服务器用途

4.4禁用无须要标准开启服务

配置项名称禁用无须要标准开启服务

检验SNAplus2服务，实施：

#more/etc/rc.config.d/snaplus2

查看该文件中是否存在START_SNAPLUS=O、START_SNANODE=0、

START_SNAINETD=O

检验多播路由服务，实施：

#more/etc/rc.config.d/netdaemons

直看该文件中是否存在MROUTED=0、RWHOD=0、DDFA=0、

START_RBOOTD=0

检验DFS分布式文件系统服务，实施：

#more/etc/rc.config.d/dfs

查看该文件中是否存在DCE_KRPC=0,DFS_CORE=0.DFS_CLIENT=O.

检验方法DFS_SERVER=O、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、

BOSSERVER=0.DFSBIND=0、FXD=0、MEMCACHE=O、DFSGWD=0>

DISKCACHEFORDFS=0

检验逆地址解析服务，实施：

#more/etc/rc.config.d/netconf

查看该文件中是否存在RARPD=0、RDPD=0

检验响应PTY（伪终端）请求守护进程，实施：

#more/etc/rc.config.d/ptydaemon

查看该文件中是否存在PIYDAEMON_START=0

检验响应7T（经过UXN登录其它系统）请求守护进程，实施：

#more/etc/rc.config.d/vt

查看该文件中是否存在VTDAEMON_START=0

检验域名守护进程服务，实施：

#more/etc/rc.config.d/namesvrs

查看该文件中是否存在NAMED=0

检验SNMP代理进程服务，实施：

#more/etc/rc.config.d/peer.snmpd

查看该文件中是否存在PEER_SNMPD_START=O

检验授权管理守护进程服务，实施：

#more/etc/rc.config.d/i4lmd

查看该文件中是否存在START」4LMD=0

检验SNAplus2服务，实施：

#more/etc/rc.config.d/snaplus2

查看该文件中是否存在START_SNAPLUS=O.START_SNANODE=0、

START_SNAINETD=O

检验X字体服务，实施：

#more/etc/rc.config.d/xfs

查看该文件中是否存在RUN_X_FONT_SERVER=0

检验语音服务，实施：

#more/etc/rc.config.d/audio

查看该文件中是否存在AUDIO_SERVER=0

检验SLSD(Single-Logical-Screen-Daemon)服务，实施：

#more/etc/rc.config.d/slsd

查看该文件中是否存在SLSD_DAEMON=0

检验SAMBA服务，实施：

#more/etc/rc.config.d/samba

查看该文件中是否存在RUN_SAMBA=O

检验CIFS用户端服务，实施：

#more/etc/rc.config.d/cifsclient

查看该文件中是否存在RUN_CIFSCLIENT=O

检验NFS开启服务，实施：

#more/etc/rc.config.d/nfsconf

查看该文件中是否存在NFS_SERVER=O.NFS_CLIENT=O

检验NetscapeFastTrackServer服务，实施：

#more/etc/rc.config.d/ns-ftrack

查看该文件中是否存在NS_FTRACK=O

检验APACHE服务，实施：

#more/etc/rc.config.d/apacheconf

查看该文件中是否存在APACHE_START=O

检验基于RPC服务，实施：

#ls/sbin/rc2.d/.NOS400nfs.core

查看是否存在该文件

1、实施备份：

使用cp命令备份需要修改文件

2、设置参数：

实施下列命令，禁用SNAplus2服务

#ch_rc-a-pSTART_SNAPLUS=O-pSTART_SNANODE=0-p

START_SNAINETD=0/etc/rc.config.d/snaplus2

操作步骤

实施卜.列命令，禁用多播路由服务

#ch_rc-a-pMROUTED=0-pRWHOD=0-pDDFA=0-pSTART_RBOOTD=0

/etc/rc.config.d/netdaemons

实施下列命令，禁用DFS分布式文件系统服务

#ch_rc-a-pDCE_KRPC=0-pDFS_CORE=0-pDFS_CLIENT=O-p

DFS_SERVER=O-pDFS_EPISODE=0-pEPIINIT=0-pDFSEXPORT=0-p

BOSSERVER=0-pDFSBIND=0-pFXD=0-pMEMCACHE=O-pDFSGWD=0

-pDISKCACHEFORDFS=0/etc/rc.config.d/dfs

实施下列命令，禁用逆地址解析服务

#ch_rc-a-pRARPD=0-pRDPD=0/etc/rc.config.d/netconf

实施下列命令，禁用响应PIY（伪终端）请求守护进程

#ch_rc-a-pPTYDAEMON_START=0/etc/rc.config.d/ptydaemon

实施下列命令，禁用响应VT（经过SN登录其它系统）请求守护进程

#ch_rc-a-pVTDAEMON_START=0/etc/rc.config.d/vt

实施下列命令，禁用域名守护进程

#ch_rc-a-pNAMED=0/etc/rc.config.d/namesvrs

实施下列命令，禁用SNMP代理进程

#ch_rc-a-pPEER_SNMPD_START=0/etc/rc.config.d/peer.snmpd

实施下列命令，禁用授权管理守护进程

#ch_rc-a-pSTART_I4LMD=0/etc/rc.config.d/i4lmd

实施下列命令，禁用X字体服务

#ch_rc-a-pRUN_X_FONT_SERVER=0/etc/rc.config.d/xfs

实施下列命令，禁用语音服务

#ch_rc-a-pAUDIO_SERVER=0/etc/rc.config.d/audio

实施下列命令，禁用SLSD（Single-Logical-Screen-Daemon）服务

#ch_rc-a-pSLSD_DAEMON=0/etc/rc.config.d/slsd

实施下列命令，禁用SAMBA服务

#ch_rc-a-pRUN_SAMBA=0/etc/rc.config.d/samba

实施下列命令，禁用CIFS用户端服务

#ch_rc-a-pRUN_CIFSCLIENT=0/etc/rc.config.d/cifsclient

实施卜.列命令，禁用NFS服务

#ch_rc-a-pNFS_SERVER=0-pNFS_CLIENT=0/etc/rc.config.d/nfsconf

实施下列命令，禁用NetscapeFastTrackServer服务

#ch_rc-a-pNS_FTRACK=O/etc/rc.config.d/ns-ftrack

实施下列命令，禁用APACHE服务

#ch_rc-a-pAPACHE_START=O/etc/rc.config.d/apacheconf

实施下列命令，禁用基于RPC服务

#mv-f/sbin/rc2.d/S400nfs.core/sbin/rc2.d/.NOS400nfs.core

回退操作使用cp命令恢复被修改文件

风险说明禁用服务会影响一些应用运行

4.5禁用无须要inetd股务

配置项名称inetd中基础网络服务配置

实施：

检验方法#more/etc/inetd.conf

检验基础网络服务开启或严禁情况

1＞实施备份：

#cp-p/etc/inetd.conf/etc/inetd.conf_bak

2、严禁非必需服务：

操作步骤#vi/etc/inetd.conf

在非必需服务前面加#注释

3、重新开启inetd：

#/sbin/init.d/inetd{stop|start)

回退操作实施：

#cp/etc/inetd.conf_bak/etc/inetd.conf

#/sbin/init.d/inetd{stop|start}

风险说明关闭一些网络服务可能造成应用出现问题，重启inetd服务可能造成业务中止

5IP协议安全配置要求

5.1关闭IP转发

配置项名称关闭IP转发

实施：

检验方法#ndd-get/dev/ipip_forwarding

查看是否关闭IP转发，返回值应为0

1、实施备份

统计需要修改可调参数值

#cp-p/etc/rc.config.d/nddconf/etc/rc.config.d/nddconf_bak

2、实施下列命令，设置参数

使参数在目前系统状态下临时生效：

#ndd-set/dev/ipip_forwarding0

建立开启项，使参数重启后永久生效：

操作步骤#cd/etc/rc.config.d

#cat<<EOF>>nddconf

#Don'tipforwarding

TRANSPO^T_NAME[0]=ip

NDD_NAME[0]=ip_forwarding

NDD_VALUE[0]=0

EOF

1、使用ndd-set恢复修改前参数

回退操作2、实施：

#cp-p/etc/rc.config.d/nddconf_bak/etc/rc.config.d/nddconf

风险说明可能造成路由错误，无法通信。

5.2关闭转起源路由包

配置项名称关闭转起源路由包

实施：

检验方法#ndd-get/dev/ipip_forward_src_routed

查看是否关闭转起源路由包,返问值成为0

1、实施备份

统计需要修改可调参数值

#cp-p/etc/rc.config.d/nddconf/etc/rc.config.d/nddconf_bak

2、实施下列命令，设置参数

使参数在目前系统状态下临时生效：

#ndd-set/dev/ipip_forward_src_routed0

建立开启项，使参数重启后永久生效：

操作步骤

#cd/etc/rc.config.d

#cat<<EOF>>nddconf

#Dropsource-routedpackets

TRANSPO^T_NAME[l]=ip

NDD_NAME[l]=ip_forward_src_routed

NDD_VALUE[1]=O

EOF

1、使用ndd-set恢复修改前参数

回退操作2、实施：

#cp-p/etc/rc.config.d/nddconf_bak/etc/rc.config.d/nddconf

风险说明可能造成路由错误，无法通信。

5.3增大最大半连接数防范SYN攻击

配置项名称增大最大半连接数

实施：

检验方法#ndd-get/dev/tcptcp_syn_rcvd_max

查看返回值应最小为4096

1、实施备份

统计需要修改可调参数值

#cp-p/etc/rc.config.d/nddconf/etc/rc.config.d/nddconf_bak

2、实施下列命令，设置参数

使参数在目前系统状态下临时生效：

#ndd-set/dev/tcptcp_syn_rcvd_max4096

操作步骤建立开启项，使参数重启后永久生效：

#cd/etc/rc.config.d

#cat<<tOb>>nddconf

#Increasesizeofhalf-openconnectionqueue

TRANSPORT_NAME[2]=tcp

NDD_NAME[2]=tcp_syn_rcvd_max

NDD_VALUE[2]=4096

EOF

1、使用ndd・set恢复修改前参数

回退操作2、实施：

#cp-p/etc/rc.config.d/nddconf_bak/etc/rc.config.d/nddconf

风险说明可能影响网络应用

5.4关闭ICMP重定向

配置项名称关闭ICMP重定向

实施:

检验方法#ndd-get/dev/ipip_send_redirects

查看是否关闭ICMP重定向，返回值应为0

1、实施备份

统计需要修改可调参数值

#cp-p/etc/rc.config.d/nddconf/etc/rc.config.d/nddconf_bak

2、实施下列命令，设置参数

使参数在目前系统状态下临时生效：

#ndd-set/dev/ipip_send_redirects0

操作步骤

建立开启顶，使参数重启后永久生效：

#cd/etc/rc.config.d

#cat<<EOF>>nddconf

#Don'tsendipredirects

TRANSPORT_NAME[3]=ip

NDD_NAME[3]=ip_send_redirects

NDD_VALUE[3]=0

EOF

1、使用ndd-set恢复修改前参数

回退操作2、实施：

#cp-p/etc/rc.config.d/nddconf_bak/etc/rc.config.d/nddconf

风险说明可能造成路由错误，无法通信。

5.5关闭响应echo广播

配置项名称关闭响应echo广播

实施：

#ndd-get/dev/ipip_forward_directed_broadcasts

检验方法

#ndd-get/dev/ipip_respond_to_echo_broadcast

查看是否关闭IP转发，返回值应为0

1、实施备份

统计需要修改可调参数值

#cp-p/etc/rc.config.d/nddconf/etc/rc.config.d/nddconf_bak

2、实施下列命令，设置参数

使参数在目前系统状态下临时生效：

操作步骤

#ndd-set/dev/ipip_forward_directed_broadcasts(J

#ndd-set/dev/ipip_respond_to_echo_broadcast0

建立开启项，使参数重启后永久生效：

#cd/etc/rc.config.d

#cat<<EOF>>nddconf

#Don'tforwarddirectedbroadcasts

TRANSPO^T_NAME[4]=ip

NDD_NAME[4]=ip_forward_directed_broadcasts

NDD_VALUE[4]=0

#Don'trespondtobroadcastechorequests

TRANSPO^T_NAME[5]=ip

NDD_NAME[5]=ip_respond_to_echo_broadcast

NDD_VALUE[5]=0

EOF

#chownroot:sysnddconf

#chmodgo-w,ug-snddconf

1、使用ndd-set恢复修改前参数

回退操作2、实施：

#cp-p/etc/rc.config.d/nddconf_bak/etc/rc.config.d/nddconf

风险说明需确定服务器用途

5.6关闭响应地址掩码和时间戳广播预防探测

配置项名称关闭响应地址掩码和时间戳广播预防探测

实施：

#ndd-get/dev/ipip_respond_to_address_mask_broadcast

检验方法

#ndd-get/dev/ipip_respond_to_timestamp_broadcast

返回值应为0

1、实施备份

操作步骤

统计需要修改可调参数值

#cp-p/etc/rc.config.d/nddconf/etc/rc.config.d/nddconf_bak

2、实施下列命令，设置参数

使参数在R前系统状态下临时生效：

#ndd-set/dev/ipip_respond_to_address_mask_broadcast0

#ndd-set/dev/ipip_respond_to_timestamp_broadcast0

建立开启项，使参数重启后永久生效：

#cd/etc/rc.config.d

#cat<<EOF>>nddconf

#Don'trespondtoICMPaddressmaskrequests

TRANSPO^T_NAME[6]=ip

NDD_NAME[6]=ip_respond_to_address_mask_broadcast

NDD_VALUE[6]=0

#Don'trespondtobroadcastICMPtstampreqs

TRANSPO^T_NAME[7]=ip

NDD_NAME[7]=ip_respond_to_timestamp_broadcast

NDD_VALUE[7]=0

EOF

#chownroot:sysnddconf

#chmodgo-wzug-snddconf

使用ndd-set恢复修改前参数

回退操作2、实施：

#cp-p/etc/rc.config.d/nddconf_bak/etc/rc.config.d/nddconf

风险说明可能影响网络通信

6日志安全配置要求

6,1非日志服务器严禁接收syslog

配置项名称非日志服务器严禁接收syslog

实施：

检验方法#cat/etc/rc.config.d/syslogd

检验是否存在SYSLOGD_OPTS="-N"

1、实施备份

#cp-p/etc/rc.config.d/syslogd/etc/rc.config.d/syslogd_bak

2、实施下列命令，添加JSYSLOGD_OPTS=”-N”

操作步骤#ch_rc-a-pSYSLOGD_OPTS="-N"/etc/rc.config.d/syslogd

3、重启syslogd

#/sbin/init.d/syslogdstop

#/sbin/init.d/syslogdstart

回退操作#cp-p/etc/rc.config.d/syslogd_bak/etc/rc.config.d/syslogd

风险说明低风险

6.2启用inetd日志统计

配置项名称启用inetd日志统计

实施：

检验方法#cat/etc/rc.config.d/netdaemons|grepINETD_ARGS=-I

查看该文件是否存在INETD_ARGS=-I

1、实施备份

#cp-p/etc/rc.config.d/netdaemons/etc/rc.config.d/netdaemons_bak

操作步骤

2、实施下列命令，设置参数

#ch_rc-a-pINETD_ARGS=-I/etc/rc.config.d/netdaemons

3、