Linux系统加固:限制用户对资源的使用&禁止IP源路由&更改主机解析地址的顺序&设置umask值
-
- [1.1 限制用户对资源的使用](#1.1 限制用户对资源的使用)
- [1.2 禁止IP源路由](#1.2 禁止IP源路由)
- [1.3 更改主机解析地址的顺序](#1.3 更改主机解析地址的顺序)
- [1.4 禁止ip路由转发](#1.4 禁止ip路由转发)
- [1.5 设置umask值](#1.5 设置umask值)
|-----------------------------|
| 💖The Begin💖点点关注,收藏不迷路💖 |
1.1 限制用户对资源的使用
/etc/security/limits.conf是Linux系统中用来配置用户资源限制的文件。通过编辑这个文件,您可以为特定用户或用户组设置各种资源限制,如最大打开文件数、最大CPU时间、最大内存限制等。
在/etc/security/limits.conf文件中,每行包含以下字段:
domain:指定要应用限制的用户或用户组名。设置需要被限制的用户名,组名前面加@和用户名区别。也可以用通配符*来做所有用户的限制。取值可以是:
1、用户名
2、组名(组名前面加'@'以区别用户名)
3、*(表示所有用户)
type:指定要限制的资源类型,如soft(软限制)和hard(硬限制)。
1、soft 表示警告的设定,可以超过这个设定值,但是超过会有警告信息
2、hard 表示严格的设定,必定不能超过这个设定的值
item:指定要限制的资源类型,如:
core:限制内核文件的大小
data:最大数据大小
fsize:最大文件大小
memlock:最大锁定内存地址空间
nofile:打开文件的最大数目
rss:最大持久设置大小
stack:最大栈大小
cpu:以分钟为单位的最多CPU时间
nproc:进程的最大数目
as:地址空间限制
value:指定资源的具体限制值。
语法:<domain> <type> <item> <value>
加固方案:
1、编辑/etc/security/limits.conf文件
powershell
vi /etc/security/limits.conf
2、添加如下类似配置,参数根据你实际需求自己设置:
powershell
# 示例配置
# 设置用户`mfs`的最大打开文件数为10000
mfs soft nofile 10000
mfs hard nofile 10000
# 设置用户组`@group01`的最大CPU时间为1小时
@group01 soft cpu 60
@group01 hard cpu 60
# 设置所有用户的最大栈大小为8MB,进程的最大持久设置大小2M
* soft stack 8192
* hard stack 8192
* soft rss 2048
* hard rss 2048
# 设置用户`zyl`的最大锁定内存地址空间为256MB
zyl soft memlock 262144
zyl hard memlock 262144
# 设置所有用户的nproc(进程数)的软限制为4096,硬限制为8192。
* soft nproc 4096
* hard nproc 8192
这个示例展示了如何在/etc/security/limits.conf文件中配置不同用户和用户组的资源限制。你可以根据需要添加或修改其他限制项和数值。
在修改完/etc/security/limits.conf文件后,需要重新登录用户或重启系统才能使更改生效。
1.2 禁止IP源路由
禁止IP源路由是一种网络安全措施,旨在防止特定类型的网络攻击,主要包括源路由攻击。以下是禁止IP源路由的原因:
1、源路由攻击防范: 源路由攻击是一种网络攻击手法,攻击者可以通过在IP数据包的选项字段中设置源路由信息,强制数据包按照指定的路径传输,绕过网络中的安全控制点。禁止IP源路由可以有效防止这种攻击。
2、防止IP地址欺骗: 通过源路由,攻击者可以伪造源IP地址,使得数据包似乎来自于一个信任的主机或网络。禁止IP源路由可以减少IP地址欺骗的可能性,提高网络的安全性。
3、减少网络风险: 启用IP源路由可能会增加网络的复杂性和风险,因为数据包可以绕过正常的路由路径,导致网络不稳定或容易受到攻击。禁止IP源路由可以降低这种风险。
加固步骤:
1、执行以下命令查看参数accept_source_route的值。
powershell
cat /proc/sys/net/ipv4/conf/*/accept_source_route
判定依据:accept_source_route的值为0则合规,否则为不合规。
2、如果此项检查失败,请执行以下命令进行修复:
powershell
for f in /proc/sys/net/ipv4/conf/*/accept_source_route
do
echo 0 > $f
done
3、验证结果:
powershell
cat /proc/sys/net/ipv4/conf/*/accept_source_route
请注意,这个设置在系统重启后会失效。如果想要永久禁止IP源路由,可以编辑/etc/sysctl.conf文件并添加以下行:
powershell
net.ipv4.conf.all.accept_source_route = 0
保存文件后,使更改生效。
powershell
sysctl -p
补充:/etc/sysctl.conf文件参数解释:
java
#禁用包过滤功能
net.ipv4.ip_forward = 0
#启用源路由核查功能
net.ipv4.conf.default.rp_filter = 1
#禁用所有IP源路由
net.ipv4.conf.default.accept_source_route = 0
#使用sysrq组合键是了解系统目前运行情况,为安全起见设为0关闭
kernel.sysrq = 0
#控制core文件的文件名是否添加pid作为扩展
kernel.core_uses_pid = 1
#开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理
net.ipv4.tcp_syncookies = 1
#每个消息队列的大小(单位:字节)限制
kernel.msgmnb = 65536
#整个系统最大消息队列数量限制
kernel.msgmax = 65536
#单个共享内存段的大小(单位:字节)限制,计算公式64G*1024*1024*1024(字节)
kernel.shmmax = 68719476736
#所有内存大小(单位:页,1页 = 4Kb),计算公式16G*1024*1024*1024/4KB(页)
kernel.shmall = 4294967296
#timewait的数量,默认是180000
net.ipv4.tcp_max_tw_buckets = 6000
#开启有选择的应答
net.ipv4.tcp_sack = 1
#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
net.ipv4.tcp_window_scaling = 1
#TCP读buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP写buffer
net.ipv4.tcp_wmem = 4096 131072 1048576
#为TCP socket预留用于发送缓冲的内存默认值(单位:字节)
net.core.wmem_default = 8388608
#为TCP socket预留用于发送缓冲的内存最大值(单位:字节)
net.core.wmem_max = 16777216
#为TCP socket预留用于接收缓冲的内存默认值(单位:字节)
net.core.rmem_default = 8388608
#为TCP socket预留用于接收缓冲的内存最大值(单位:字节)
net.core.rmem_max = 16777216
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144
#web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值
net.core.somaxconn = 262144
#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)
net.ipv4.tcp_max_orphans = 3276800
#记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128
net.ipv4.tcp_max_syn_backlog = 262144
#时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种"异常"的数据包。这里需要将其关掉
net.ipv4.tcp_timestamps = 0
#为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
net.ipv4.tcp_synack_retries = 1
#在内核放弃建立连接之前发送SYN包的数量
net.ipv4.tcp_syn_retries = 1
#开启TCP连接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1
#开启TCP连接复用功能,允许将time_wait sockets重新用于新的TCP连接(主要针对time_wait连接)
net.ipv4.tcp_tw_reuse = 1
#1st低于此值,TCP没有内存压力,2nd进入内存压力阶段,3rdTCP拒绝分配socket(单位:内存页)
net.ipv4.tcp_mem = 94500000 915000000 927000000
#如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些。
net.ipv4.tcp_fin_timeout = 15
#表示当keepalive起用的时候,TCP发送keepalive消息的频度(单位:秒)
net.ipv4.tcp_keepalive_time = 30
#对外连接端口范围
net.ipv4.ip_local_port_range = 2048 65000
#表示文件句柄的最大数量
fs.file-max = 102400
# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
# 开启并记录欺骗,源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# 开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
# 不充当路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# 开启execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1
# 优化LB使用的端口
# 增加系统文件描述符限制
fs.file-max = 65535
# 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
kernel.pid_max = 65536
# 增加系统IP端口限制
net.ipv4.ip_local_port_range = 2000 65000
# 增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
# 增加Linux自动调整TCP缓冲区限制
# 最小,默认和最大可使用的字节数
# 最大值不低于4MB,如果你使用非常高的BDP路径可以设置得更高
# Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1
1.3 更改主机解析地址的顺序
编辑文件/etc/host.conf,看是否存在如下内容:如果没有,在空白处加入下面三行:
powershell
order hosts,bind
multi on
nospoof on
参数含义:
1、order hosts,bind : 设置首先通过DNS解析IP地址,然后通过hosts文件解析。
2、multi on: 设置主机可以拥有多个IP地址(比如有多个以太口网卡)。
3、nospoof on :设置启用对本机未经许可的IP欺骗保护。
这个配置指定了主机解析的顺序为首先查找/etc/hosts文件,然后再向DNS服务器查询。multi on表示允许主机名对应多个IP地址,nospoof on表示启用地址欺骗保护。
判定依据:文件/etc/host.conf存在如上配置则合规,否则不合规。
1.4 禁止ip路由转发
使用如下命令查看net.ipv4.ip_forward的值:
powershell
sysctl -n net.ipv4.ip_forward
判定依据:net.ipv4.ip_forward的值为0表示合规,否则不合规。
加固步骤:
1、备份文件:
powershell
cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
2、vi /etc/sysctl.conf文件加上
powershell
net.ipv4.ip_forward=0
3、使配置文件生效
powershell
sysctl -p
1.5 设置umask值
设置umask值是为了控制新创建文件和目录的默认权限。umask值是一个八进制数,用来屏蔽掉文件和目录的权限位。具体来说,umask值中的每一位代表了对应权限位是否被屏蔽掉。
umask值的作用是确保新创建的文件和目录不会拥有过于宽松的权限,从而提高系统的安全性。
默认情况下,umask值通常设置为022
,即屏蔽掉其他用户的写权限,保留所有者和所属组的读、写、执行权限。
检测方法
查看/etc/profile文件,检查umask值
powershell
cat /etc/profile|egrep -v "^#|\""|grep "umask"|tail -1
判定依据: uamsk值为022则合规;否则不合规。
加固步骤
1、执行备份
powershell
cp /etc/profile /etc/profile.bak
2、编辑/etc/profile文件
vi /etc/profile,添加内容(存在则修改):
powershell
umask 022
保存退出。
3、立即生效
powershell
source /etc/profile
|---------------------------|
| 💖The End💖点点关注,收藏不迷路💖 |