世界500强企业的主机系统安全配置标准(9)

发布时间:2021-06-08

世界500强企业的主机系统安全配置标准

现在有一种流行的攻击方式是SYN洪水攻击,攻击者通过使用大量伪造的连接请求信息来填满被攻击服务器的套接字队列。要防止这种方式的攻击,可以通过增加套接字队列的大小和数量来进行防护,分流入站的套接字连接请求,例如,有两个队列,一个针对半打开套接字(SYN收到, SYN|ACK已经发送), 另一个队列对于已打开套接字等待从应用程序发出的accept()请求。通过这些设置来减轻SYN攻击造成的影响,从而提高了系统的稳定性和可靠性。

通过以下命令或配置来增加套接字队列的大小:

REDHAT Linux:在/etc/sysctl.conf文件中添加

net.ipv4.tcp_max_syn_backlog=1280定义,增大套接字队列的大小; SOLARIS: 在/etc/init.d/inetinit或/etc/init.d/secure_ndd文件中添加

/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024定义,增大套接字队列的大小和数量,q套接字队列将单独等待从应用程序发出的accept()请求;

AIX: 在/etc/文件中添加/usr/sbin/no -o clean_partial_conns=1定义,使得系统内核随机地删除在对了q0中的半打开套接字请求。

5.1.2 重定向

IP重定向通常用来修改远程主机的路由表信息,必须禁止发送和接收重定向信息。

REDHAT:在/etc/sysctl.conf文件中添加如下配置定义:

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.all.accept_redirects=0

SOLARIS:在/etc/init.d/inetinit中添加如下配置定义:

/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1

/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

AIX: 在/etc/添加如下配置定义:

/usr/sbin/no -o ipignoreredirects=1

/usr/sbin/no -o ipsendredirects=0

5.1.3 源站路由

利用源站路由,攻击者可以尝试到达内部IP地址,所以必须禁止接受源站路由数据包来防止对于内部网络的侦测。

REDHAT: 在/etc/sysctl.conf文件中添加如下配置来丢弃所有的源站路由数据包, net.ipv4.conf.all.accept_source_route=0

下列配置用来禁止转发相关的源站路由数据包。

net.ipv4.conf.all.forwarding=0

net.ipv4.conf.all.mc_forwarding=0

对于内核版本2.4以上:在/etc/sysctl.conf添加如下配置。

世界500强企业的主机系统安全配置标准(9).doc 将本文的Word文档下载到电脑

精彩图片

热门精选

大家正在看

× 游客快捷下载通道(下载后可以自由复制和排版)

限时特价:7 元/份 原价:20元

支付方式:

开通VIP包月会员 特价:29元/月

注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
微信:fanwen365 QQ:370150219