linux系统安全加固手册模板.doc

系统安全加固手册 1 帐户安全配置要求 1.1 创建/etc/shadow影子口令文件 配置项名称 设置影子口令模式 检验方法 实施： #more /etc/shadow 查看是否存在该文件 操作步骤 1、实施备份： #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式： #pwconv 回退操作 实施： #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明 系统默认使用标准口令模式，切换不成功可能造成整个用户管理失效 1.2 建立多帐户组，将用户账号分配到对应帐户组 配置项名称 建立多帐户组，将用户账号分配到对应帐户组 检验方法 1、实施： #more /etc/group #more /etc/shadow 查看每个组中用户或每个用户属于那个组 2、确定需要修改用户组用户 操作步骤 1、实施备份： #cp –p /etc/group /etc/group_bak 2、修改用户所属组： # usermod –g group username 回退操作 实施： #cp /etc/group_bak /etc/group 风险说明 修改用户所属组可能造成一些应用无法正常运行 1.3 删除或锁定可能无用帐户 配置项名称 删除或锁定可能无用帐户 检验方法 1、实施： #more /etc/passwd 查看是否存在以下可能无用帐户： hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、和管理员确定需要锁定帐户 操作步骤 1、实施备份： #cp –p /etc/passwd /etc/passwd_bak 2、锁定无用帐户： #passwd -l username 回退操作 实施： #cp /etc/passwd_bak /etc/passwd 风险说明 锁定一些用户可能造成一些应用无法正常运行 1.4 删除可能无用用户组 配置项名称 删除可能无用用户组 检验方法 1、实施： #more /etc/group 查看是否存在以下可能无用用户组： lp nuucp nogroup 2、和管理员确定需要删除用户组 操作步骤 1、实施备份： #cp –p /etc/group /etc/group_bak 2、删除无用用户组： #groupdel groupname 回退操作 实施： #cp /etc/group_bak /etc/group 风险说明 删除一些组可能造成一些应用无法正常运行 1.5 检验是否存在空密码帐户 配置项名称 检验是否存在空密码帐户 检验方法 实施下列命令，检验是否存在空密码帐户 logins –p 应无回结果 操作步骤 1、实施备份： #cp –p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 2、锁定空密码帐户或使用passwd命令设置复杂密码 #passwd –l username 回退操作 实施： #cp –p /etc/passwd_bak /etc/passwd #cp -p /etc/shadow_bak /etc/shadow 风险说明 锁定一些帐户可能造成一些应用无法正常运行 1.6 设置口令策略满足复杂度要求 配置项名称 设置口令策略满足复杂度要求 检验方法 1、实施下列命令，检验是否存在空密码帐户 #logins –p 应无返回结果 2、实施： #more /etc/default/security 检验是否满足以下各项复杂度参数： MIN_PASSWORD_LENGTH=6 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1 操作步骤 1、实施备份： #cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak 2、实施下列命令，编辑/etc/default/security #vi /etc/default/security 修改以下各项复杂度参数： MIN_PASSWORD_LENGTH=6 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1 回退操作 实施： #cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd 风险说明 可能造成非root用户修改自己密码时数次不成功 1.7 设置帐户口令生存周期 配置项名称 设置帐户口令生存周期 检验方法 实施： #more /etc/default/security 查看是否存在以下各项参数： PASSWORD_MAXDAYS=90 PASSWORD_WARNDAYS=28 操作步骤 1、实施备份： #cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak 2、实施下列命令，编辑/etc/default/security #vi /etc/default/security 修改以下各项参数： PASSWORD_MAXDAYS=90 PASSWORD_WARNDAYS=28 回退操作 实施： #cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd 风险说明 可能在密码过期后影响正常使用及维护 1.8 设定密码历史，不能反复使用最近5次（含5次）内已使用口令 配置项名称 应配置设备，使用户不能反复使用最近5次（含5次）内已使用口令 检验方法 实施： #more /etc/default/security 查看是否存在以下参数： PASSWORD_HISTORY_DEPTH=5 操作步骤 1、实施备份： #cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak 2、实施下列命令，编辑/etc/default/security #vi /etc/default/security 修改以下参数： PASSWORD_HISTORY_DEPTH=5 回退操作 实施： #cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd 风险说明 低风险 1.9 限制root用户远程登录 配置项名称 root用户远程登录限制 检验方法 实施： #more /etc/securetty 检验是否有下列行： Console 实施： #more /opt/ssh/etc/sshd_config 检验是否有PermitRootLogin no 操作步骤 1、实施备份： #cp –p /etc/securetty / etc/securetty_bak #cp -p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak 2、新建一个一般用户并设置高强度密码： #useradd username #passwd username 3、严禁root用户远程登录系统： #vi /etc/securetty 去掉console前面注释，保留退出 #vi /opt/ssh/etc/sshd_config 将PermitRootLogin后yes改为no 回退操作 实施： #cp /etc/securetty_bak /etc/securetty #cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config 风险说明 严重改变维护人员操作习惯，必需新建一个能够实施交互式登录一般用户并能够经过su提升权限，可能带来新威胁 1.10 检验passwd、group文件权限设置 配置项名称 检验passwd、group文件权限设置　 检验方法 实施： #ls –l /etc/passwd /etc/group 操作步骤 1、实施备份： #cp –p /etc/passwd /etc/passwd_bak #cp –p /etc/group /etc/group_bak 2、修改文件权限： #chmod 644 /etc/passwd #chmod 644 /etc/group 回 退 实施： #cp /etc/passwd_bak /etc/passwd #cp /etc/group_bak /etc/group 风险说明 权限设置不妥可能造成无法实施用户管理，并可能造成一些应用运行异常 1.11 系统umask设置 配置项名称 系统umask设置 检验方法 实施： #more /etc/profile 检验系统umask值 操作步骤 1、实施备份： #cp -p /etc/profile /etc/profile_bak 2、修改umask设置： #vi /etc/profile 将umask值修改为027，保留退出 回退操作 实施： #cp /etc/profile_bak /etc/profile 风险说明 umask设置不妥可能造成一些应用无法正确自动创建目录或文件，从而运行异常 2 访问、认证安全配置要求 2.1 远程登录用消telnet采取ssh 配置项名称 远程登录用消telnet采取ssh 检验方法 查看SSH、telnet服务状态： #ps –elf | grep ssh #ps –elf | grep telnet SSH服务状态查看结果为：online telnet服务状态查看结果为：disabled 操作步骤 1、备份#cp –p /etc/inetd.conf /etc/inetd.conf_bak 2、修改/etc/inetd.conf文件，将telnet行注释掉 #telnet stream tcp nowait root /usr/lbin/telnetd telnetd 3、重启服务# inetd -c 4、安装ssh软件包，经过#/opt/ssh/sbin/sshd start来开启SSH。 回退操作 实施： #cp –p /etc/inetd.conf_bak /etc/inetd.conf 开启telnet #/usr/lbin/telnetd start 停止SSH #/opt/ssh/sbin/sshd stop 风险说明 影响维护人员操作习惯，需要重启服务 2.2 限制系统帐户FTP登录 配置项名称 限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐户FTP登录 检验方法 实施： #cat /etc/ftpd/ftpusers 查看具体严禁FTP登陆系统用户名单 操作步骤 1、实施备份： #cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak 2、严禁用户FTP登录系统： #vi /etc/ftpd/ftpusers 每一个帐户一行，添加以下帐户严禁FTP登录 root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm 回退操作 实施： #cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers 风险说明 严禁一些帐户登录FTP可能造成一些应用无法正常运行 2.3 配置许可访问inetd服务IP范围或主机名 配置项名称 配置许可访问inetd服务IP范围或主机名 检验方法 实施： #cat /var/adm/inetd.sec 查看有没有类似login deny 192.54.24.5 cory.berkeley.edu testlan配置 操作步骤 1、实施备份： #cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak 2、添加许可访问inetd服务IP范围或主机名： #vi /var/adm/inetd.sec 根据以下格式添加IP范围或主机名 service name { allow | deny }{ hostaddrs | hostnames |netaddrs | netnames } 回退操作 实施： #cp /var/adm/inetd.sec_bak /var/adm/inetd.sec 风险说明 需确定IP信任范围，设置不妥会造成网络服务通信异常 2.4 严禁除root外帐户使用at/cron 配置项名称 严禁除root外帐户使用at/cron 检验方法 实施： # cd /var/adm/cron #cat cron.allow #cat at.allow 查看是否存在root； 实施： #cat cron.deny #cat at.deny 检验是否存在cron.deny和at.deny文件，若存在，应删除。 操作步骤 1、实施备份 # cd /var/adm/cron #cp -p cron.deny cron.deny_bak #cp -p at.deny at.deny_bak #cp -p cron.allow cron.allow_bak #cp -p at.allow at.allow _bak 2、添加root到cron.allow和at.allow，并删除cron.deny和at.deny。 #cd /var/adm/cron #rm -f cron.deny at.deny #echo root >cron.allow #echo root >at.allow #chown root:sys cron.allow at.allow #chmod 400 cron.allow at.allow 回退操作 # cd /var/adm/cron #cp -p cron.deny_bak cron.deny #cp -p at.deny_bak at.deny #cp -p cron.allow_bak cron.allow #cp -p at.allow_bak at.allow 风险说明 除root外帐户不能使用at/cron，可能影响一些应用。 2.5 设定连续认证失败次数超出6次（不含6次）锁定该账号 配置项名称 配置当用户连续认证失败次数超出6次（不含6次），锁定该用户使用账号。 检验方法 实施： #cat /etc/default/security 检验是否存在AUTH_MAXTRIES=6 操作步骤 1、实施备份 #cp -p /etc/default/security /etc/default/security_bak 2、实施下列命令，设置最大登录认证重试次数锁定帐户为6次 echo AUTH_MAXTRIES=6 >> /etc/default/security 回退操作 #cp -p /etc/default/security_bak /etc/default/security 风险说明 root账号也在锁定限制范围内，一旦root被锁定，就需要光盘引导，所以该配置要慎用。 3 文件系统安全配置要求 3.1 关键目录和文件权限设置 配置项名称 关键目录和文件权限设置 检验方法 实施以下命令检验目录和文件权限设置情况： #ls –l /etc/ #ls –l /tmp/ #ls –l /etc/default/ #ls -l /etc/rc.config.d/ 操作步骤 1、实施备份： 使用cp命令备份需要修改权限文件或目录 2、权限修改： 使用chmod命令修改文件或目录权限 回退操作 使用cp命令恢复被修改权限文件或目录 或使用chmod命令恢复权限 风险说明 修改一些关键配置文件权限可能造成系统功效或应用异常 3.2 检验没有全部者文件或目录 配置项名称 检验没有全部者文件或目录 检验方法 实施： #find / \( -nouser -o -nogroup \) -exec ls -al {} \; 咨询管理员找到文件或目录是否应用所需 操作步骤 1、实施备份： 使用cp命令备份没有全部者文件或目录 2、使用chmod命令添加属主或删除没有全部者文件或目录： #rm –rf filename 回退操作 使用cp命令恢复被删除没有全部者文件或目录 风险说明 实施检验会大量消耗系统资源，需要确定无全部者文件具体用途 4 网络服务安全配置要求 4.1 严禁NIS/NIS+服务以守护方法运行 配置项名称 严禁NIS/NIS+服务以守护方法运行Network Information System 检验方法 实施： #more /etc/rc.config.d/namesvrs 查看该文件中是否存在以下参数： NIS_MASTER_SERVER=0 NIS_SLAVE_SERVER=0 NIS_CLIENT=0 NISPLUS_SERVER=0 NISPLUS_CLIENT=0 操作步骤 1、实施备份： #cp -p /etc/rc.config.d/namesvrs /etc/rc.config.d/namesvrs_bak 2、编辑/etc/rc.config.d/namesvrs文件，设置参数： #ch_rc -a -p NIS_MASTER_SERVER=0 -p NIS_SLAVE_SERVER=0 -p NIS_CLIENT=0 -p NISPLUS_SERVER=0 -p NISPLUS_CLIENT=0 /etc/rc.config.d/namesvrs 回退操作 #cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs 风险说明 NIS/NIS+服务无法自动开启 4.2 禁用打印服务以守护方法运行 配置项名称 严禁打印服务以守护方法运行 检验方法 实施： #more /etc/rc.config.d/tps 查看该文件中是否存在XPRINTSERVERS="''" #more /etc/rc.config.d/lp 查看该文件中是否存在LP=0 #more /etc/rc.config.d/pd 查看该文件中是否存在PD_CLIENT=0 操作步骤 1、实施备份： #cp -p /etc/rc.config.d/tps /etc/rc.config.d/tps_bak #cp -p /etc/rc.config.d/lp /etc/rc.config.d/lp_bak #cp -p /etc/rc.config.d/pd /etc/rc.config.d/pd_bak 2、设置参数： #ch_rc -a -p XPRINTSERVERS="''" /etc/rc.config.d/tps #ch_rc -a -p LP=0 /etc/rc.config.d/lp #ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/pd 回退操作 #cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs 风险说明 打印服务无法自动开启 4.3 禁用SENDMAIL服务以守护方法运行 配置项名称 严禁SENDMAIL服务以守护方法运行 检验方法 实施： #more /etc/rc.config.d/mailservs 查看该文件中是否存在SENDMAIL_SERVER=0 操作步骤 1、实施备份： #cp -p /etc/rc.config.d/mailservs /etc/rc.config.d/mailservs_bak #cp -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak 2、设置参数： #ch_rc -a -p SENDMAIL_SERVER=0 /etc/rc.config.d/mailservs #cd /var/spool/cron/crontabs #crontab -l >root.tmp #echo '0 * * * * /usr/lib/sendmail -q' >>root.tmp #crontab root.tmp #rm -f root.tmp 回退操作 #cp -p /etc/rc.config.d/mailservs /etc/rc.config.d/mailservs_bak #cp -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak 风险说明 造成无法收发邮件，需确定服务器用途 4.4 禁用无须要标准开启服务 配置项名称 禁用无须要标准开启服务 检验方法 检验SNAplus2服务，实施： #more /etc/rc.config.d/snaplus2 查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0 检验多播路由服务，实施： #more /etc/rc.config.d/netdaemons 查看该文件中是否存在MROUTED=0、RWHOD=0、DDFA=0、START_RBOOTD=0 检验DFS分布式文件系统服务，实施： #more /etc/rc.config.d/dfs 查看该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0 检验逆地址解析服务，实施： #more /etc/rc.config.d/netconf 查看该文件中是否存在RARPD=0、RDPD=0 检验响应PTY（伪终端）请求守护进程，实施： #more /etc/rc.config.d/ptydaemon 查看该文件中是否存在PTYDAEMON_START=0 检验响应VT（经过LAN登录其它系统）请求守护进程，实施： #more /etc/rc.config.d/vt 查看该文件中是否存在VTDAEMON_START=0 检验域名守护进程服务，实施： #more /etc/rc.config.d/namesvrs 查看该文件中是否存在NAMED=0 检验SNMP代理进程服务，实施： #more /etc/rc.config.d/peer.snmpd 查看该文件中是否存在PEER_SNMPD_START=0 检验授权管理守护进程服务，实施： #more /etc/rc.config.d/i4lmd 查看该文件中是否存在START_I4LMD=0 检验SNAplus2服务，实施： #more /etc/rc.config.d/snaplus2 查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0 检验X字体服务，实施： #more /etc/rc.config.d/xfs 查看该文件中是否存在RUN_X_FONT_SERVER=0 检验语音服务，实施： #more /etc/rc.config.d/audio 查看该文件中是否存在AUDIO_SERVER=0 检验SLSD（Single-Logical-Screen-Daemon）服务，实施： #more /etc/rc.config.d/slsd 查看该文件中是否存在SLSD_DAEMON=0 检验SAMBA服务，实施： #more /etc/rc.config.d/samba 查看该文件中是否存在RUN_SAMBA=0 检验CIFS用户端服务，实施： #more /etc/rc.config.d/cifsclient 查看该文件中是否存在RUN_CIFSCLIENT=0 检验NFS开启服务，实施： #more /etc/rc.config.d/nfsconf 查看该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0 检验Netscape FastTrack Server服务，实施： #more /etc/rc.config.d/ns-ftrack 查看该文件中是否存在NS_FTRACK=0 检验APACHE服务，实施： #more /etc/rc.config.d/apacheconf 查看该文件中是否存在APACHE_START=0 检验基于RPC服务，实施： #ls /sbin/rc2.d/.NOS400nfs.core 查看是否存在该文件 操作步骤 1、实施备份： 使用cp命令备份需要修改文件 2、设置参数： 实施下列命令，禁用SNAplus2服务 #ch_rc -a -p START_SNAPLUS=0 -p START_SNANODE=0 -p START_SNAINETD=0 /etc/rc.config.d/snaplus2 实施下列命令，禁用多播路由服务 #ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -p START_RBOOTD=0 /etc/rc.config.d/netdaemons 实施下列命令，禁用DFS分布式文件系统服务 #ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -p DFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.config.d/dfs 实施下列命令，禁用逆地址解析服务 #ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.config.d/netconf 实施下列命令，禁用响应PTY（伪终端）请求守护进程 #ch_rc -a -p PTYDAEMON_START=0 /etc/rc.config.d/ptydaemon 实施下列命令，禁用响应VT（经过LAN登录其它系统）请求守护进程 #ch_rc -a -p VTDAEMON_START=0 /etc/rc.config.d/vt 实施下列命令，禁用域名守护进程 #ch_rc -a -p NAMED=0 /etc/rc.config.d/namesvrs 实施下列命令，禁用SNMP代理进程 #ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.config.d/peer.snmpd 实施下列命令，禁用授权管理守护进程 #ch_rc -a -p START_I4LMD=0 /etc/rc.config.d/i4lmd 实施下列命令，禁用X字体服务 #ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.config.d/xfs 实施下列命令，禁用语音服务 #ch_rc -a -p AUDIO_SERVER=0 /etc/rc.config.d/audio 实施下列命令，禁用SLSD（Single-Logical-Screen-Daemon）服务 #ch_rc -a -p SLSD_DAEMON=0 /etc/rc.config.d/slsd 实施下列命令，禁用SAMBA服务 #ch_rc -a -p RUN_SAMBA=0 /etc/rc.config.d/samba 实施下列命令，禁用CIFS用户端服务 #ch_rc -a -p RUN_CIFSCLIENT=0 /etc/rc.config.d/cifsclient 实施下列命令，禁用NFS服务 #ch_rc -a -p NFS_SERVER=0 -p NFS_CLIENT=0 /etc/rc.config.d/nfsconf 实施下列命令，禁用Netscape FastTrack Server服务 #ch_rc -a -p NS_FTRACK=0 /etc/rc.config.d/ns-ftrack 实施下列命令，禁用APACHE服务 #ch_rc -a -p APACHE_START=0 /etc/rc.config.d/apacheconf 实施下列命令，禁用基于RPC服务 #mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core 回退操作 使用cp命令恢复被修改文件 风险说明 禁用服务会影响一些应用运行 4.5 禁用无须要inetd服务 配置项名称 inetd中基础网络服务配置 检验方法 实施： #more /etc/inetd.conf 检验基础网络服务开启或严禁情况 操作步骤 1、实施备份： #cp –p /etc/inetd.conf /etc/inetd.conf_bak 2、严禁非必需服务： #vi /etc/inetd.conf 在非必需服务前面加#注释 3、重新开启inetd： #/sbin/init.d/inetd {stop|start} 回退操作 实施： #cp /etc/inetd.conf_bak /etc/inetd.conf #/sbin/init.d/inetd {stop|start} 风险说明 关闭一些网络服务可能造成应用出现问题，重启inetd服务可能造成业务中止 5 IP协议安全配置要求 5.1 关闭IP转发 配置项名称 关闭IP转发 检验方法 实施： #ndd -get /dev/ip ip_forwarding 查看是否关闭IP转发，返回值应为0 操作步骤 1、实施备份 统计需要修改可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、实施下列命令，设置参数 使参数在目前系统状态下临时生效： #ndd -set /dev/ip ip_forwarding 0 建立开启项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <<EOF >> nddconf # Don't ip forwarding TRANSPORT_NAME[0]=ip NDD_NAME[0]= ip_forwarding NDD_VALUE[0]=0 EOF 回退操作 1、使用ndd -set恢复修改前参数 2、实施： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明 可能造成路由错误，无法通信。 5.2 关闭转起源路由包 配置项名称 关闭转起源路由包 检验方法 实施： #ndd -get /dev/ip ip_forward_src_routed 查看是否关闭转起源路由包，返回值应为0 操作步骤 1、实施备份 统计需要修改可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、实施下列命令，设置参数 使参数在目前系统状态下临时生效： #ndd -set /dev/ip ip_forward_src_routed 0 建立开启项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <<EOF >> nddconf # Drop source-routed packets TRANSPORT_NAME[1]=ip NDD_NAME[1]=ip_forward_src_routed NDD_VALUE[1]=0 EOF 回退操作 1、使用ndd -set恢复修改前参数 2、实施： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明 可能造成路由错误，无法通信。 5.3 增大最大半连接数防范SYN攻击 配置项名称 增大最大半连接数 检验方法 实施： # ndd -get /dev/tcp tcp_syn_rcvd_max 查看返回值应最小为4096 操作步骤 1、实施备份 统计需要修改可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、实施下列命令，设置参数 使参数在目前系统状态下临时生效： #ndd -set /dev/tcp tcp_syn_rcvd_max 4096 建立开启项，使参数重启后永久生效： #cd /etc/rc.config.d #cat <<EOF >> nddconf # Increase size of half-open connection queue TRANSPORT_NAME[2]=tcp NDD_NAME[2]=tcp_syn_rcvd_max NDD_VALUE[2]=4096 EOF 回退操作 1、使用ndd -set恢复修改前参数 2、实施： #cp -p /etc/