centos-ver-20190630
yum OK
network OK
iptables OK
update OK
yum install nano wget curl net-tools lsof bash-completion
ens32
Disable Unwanted Services in CentOS 7------------>
# systemctl stop postfix
# systemctl disable postfix
# yum remove postfix
# yum install psmisc
# pstree -p
chattr +i /etc/services
chattr +i /etc/passwd
chattr +i /etc/shadow
disable ipv6
security setup ------------>
原始碼 9.1: 丟棄 ping 封包
# /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
這將讓您忽略 icmp type 0 (也就是 ping) 的封包。因為 icmp 會包括讓您意想不到的資 訊。系統管理員使用 ping 作為診斷系統的工具,而且他們可能會抱怨不能 ping。沒有理 由讓個陌生人來 ping 內部的機器,不過有時候讓內部的人可以 ping 也是蠻方便的,這可 以用從防火牆端將 icmp type 0 的封包取消來解決。
原始碼 9.2: 忽略廣播探測
# /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
這會停止回應廣播封包以及防止增幅攻擊。增幅攻擊的運作方法是傳送一個 ICMP type 0 (ping) 訊息至網路的廣播位置。通常攻擊者會偽裝成某個來源位置,所有網路上的電腦會回應這個 ping 訊息,然後被偽裝的來源就會收到一大堆 ping 訊息。
原始碼 9.3: 忽略來源路由 (source route) 封包
# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
不要接受來源路由 (source route) 的封包。攻擊者可以使用源頭路由來產生假裝本來就在 您內部網路產生的封包,不過將會從他來的路徑路由回去,所以攻擊者可以危害您的網路。 源頭路由很少在正當的狀況下被使用,所以關閉它。
原始碼 9.4: 取消允許重新導向
# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
取消允許 ICMP 重新導向。ICMP 重導向可以被用來更改您的路由表,可能轉到一條死胡同。
原始碼 9.5: 防備爛錯誤訊息
# /bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
啟動針對無效錯誤訊息的防禦。
原始碼 9.6: 啟動反轉路徑過濾
# for i in /proc/sys/net/ipv4/conf/*; do
/bin/echo "1" > $i/rp_filter
原始碼 9.8: 關閉 IP 轉送
# /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
確認 IP 轉送是關閉的。我們只在 multi-homed 機器上需要這個東西。
全部這些設定都會在重新開機後被重設。所以我們建議您在 /etc/sysctl.conf 這個開機自動被 /etc/init.d/bootmisc 啟動稿啟用的檔案中加入它們。
/etc/sysctl.conf 的語法很直接,將之前提到的目錄中的 /proc/sys 拿掉,然後將 / 換成 .:
原始碼 9.9: 相對 sysctl.conf 的翻譯
(使用 echo 的手動設定:)
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
(自動的 sysctl.conf:)
net.ipv4.ip_forward = 0
/usr/bin/find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; 2>/dev/null >suidfiles.txt