0-setup option

centos-ver-20190630

yum OK

network OK

iptables OK

update OK

yum install nano wget curl net-tools lsof bash-completion

ens32

Disable Unwanted Services in CentOS 7------------>

# systemctl stop postfix

# systemctl disable postfix

# yum remove postfix

# yum install psmisc

# pstree -p

chattr +i /etc/services

chattr +i /etc/passwd

chattr +i /etc/shadow

disable ipv6

security setup ------------>

原始碼 9.1: 丟棄 ping 封包

# /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

這將讓您忽略 icmp type 0 (也就是 ping) 的封包。因為 icmp 會包括讓您意想不到的資 訊。系統管理員使用 ping 作為診斷系統的工具,而且他們可能會抱怨不能 ping。沒有理 由讓個陌生人來 ping 內部的機器,不過有時候讓內部的人可以 ping 也是蠻方便的,這可 以用從防火牆端將 icmp type 0 的封包取消來解決。

原始碼 9.2: 忽略廣播探測

# /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

這會停止回應廣播封包以及防止增幅攻擊。增幅攻擊的運作方法是傳送一個 ICMP type 0 (ping) 訊息至網路的廣播位置。通常攻擊者會偽裝成某個來源位置,所有網路上的電腦會回應這個 ping 訊息,然後被偽裝的來源就會收到一大堆 ping 訊息。

原始碼 9.3: 忽略來源路由 (source route) 封包

# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

不要接受來源路由 (source route) 的封包。攻擊者可以使用源頭路由來產生假裝本來就在 您內部網路產生的封包,不過將會從他來的路徑路由回去,所以攻擊者可以危害您的網路。 源頭路由很少在正當的狀況下被使用,所以關閉它。

原始碼 9.4: 取消允許重新導向

# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

取消允許 ICMP 重新導向。ICMP 重導向可以被用來更改您的路由表,可能轉到一條死胡同。

原始碼 9.5: 防備爛錯誤訊息

# /bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

啟動針對無效錯誤訊息的防禦。

原始碼 9.6: 啟動反轉路徑過濾

# for i in /proc/sys/net/ipv4/conf/*; do

/bin/echo "1" > $i/rp_filter

原始碼 9.8: 關閉 IP 轉送

# /bin/echo "0" > /proc/sys/net/ipv4/ip_forward

確認 IP 轉送是關閉的。我們只在 multi-homed 機器上需要這個東西。

全部這些設定都會在重新開機後被重設。所以我們建議您在 /etc/sysctl.conf 這個開機自動被 /etc/init.d/bootmisc 啟動稿啟用的檔案中加入它們。

/etc/sysctl.conf 的語法很直接,將之前提到的目錄中的 /proc/sys 拿掉,然後將 / 換成 .:

原始碼 9.9: 相對 sysctl.conf 的翻譯

(使用 echo 的手動設定:)

/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

(自動的 sysctl.conf:)

net.ipv4.ip_forward = 0

/usr/bin/find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; 2>/dev/null >suidfiles.txt