基线加固禁止源路由转发

原创已于 2022-06-22 12:36:41 修改 · 1.4k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #linux #网络

于 2021-02-24 17:20:14 首次发布

linux 专栏收录该内容

42 篇文章

订阅专栏

这篇博客介绍了如何检查和加固Linux系统的安全设置，特别是针对源路由转发的禁止操作。通过检查`sysctl.conf`文件并修改`accept_source_route`的值为0，可以防止不合规的源路由转发，提升系统安全性。同时，文章强调了备份配置文件的重要性。

检查方法：

cat /etc/sysctl.conf |grep accept_source_route

#查看返回结果accept_source_route的值是否为0，0为禁止源路由转发，视为合规。

加固步骤：

#备份sysctl.conf文件

cp ‐p /etc/sysctl.conf /etc/sysctl.conf_bak

#编辑sysctl.conf文件

vim /etc/sysctl.conf

#找到以下行net.ipv4.conf.all.accept_source_route（若没有自行添加），将其值改为0

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

io_py

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

华为 HUAWEI 网络设备路由交换安全基线安全加固操作

it知识分享 free for nothing..

11-20

1265

华为 HUAWEI 数通路由交换设备基线安全加固操作

Cisco 思科路由交换网络设备安全基线安全加固操作

it知识分享 free for nothing..

12-04

1765

Cisco思科路由交换网络设备基线安全加固操作

参与评论您还未登录，请先登录后发表或查看评论

Linux安全管理-iptables防火墙

jiaofan_yun的博客

12-27

2622

一、什么是防火墙防火墙就是通过定义一些有顺序的规则，并管理进入到网络内的主机数据数据包的一种机制，通俗的说就是分析与过滤进出我们主机（或者是我们所管理的网络）的数据包。二、防火墙分类防火墙分为：硬件防火墙软件防火墙软件防火墙主要有： iptables TCP Wrappers 注：我们经常用的是iptables，而TCP Wrappers是可以根据服务名称进行过滤的，因此与启动的端口无关。他有一个重大的缺点，就是必须是xinetd所能管理到的服务。这里就不多做介绍，我们重点介绍一下ip

Linux网络安全配置

cainiao17441898的博客

11-07

3261

文章目录网络参数设置禁用IP转发禁止数据包发送重定向不接收源路由信息包记录可疑数据包启用TCO SYN Cookies禁用ipv6网络访问控制TCP-Wrappers 网络参数设置禁用IP转发不当路由器！！配置方法: 在/etc/sysctl.conf或/etc/sysctl.d/*中设置以下参数: net.ipv4.ip_ forward = 0 运行以下命令来设置活动内核参数: sysctl -w net.ipv4.ip. forward=0 sysctl -w net.ipv4.route..

linux 常用参数,比较常用的linux系统参数优化

weixin_29596485的博客

05-12

742

安装完linux系统后,除了做了系统必要的安全以及优化配置后,还需要对内核进行相应的调优,参数如下:sysctl -w net.ipv4.conf.eth0.accept_source_route=0sysctl -w net.ipv4.conf.lo.accept_source_route=0sysctl -w net.ipv4.conf.default.accept_source_route=...

linux禁止系统ip源路由功能,linux 高级路由 ip rule

weixin_39718460的博客

04-29

1969

linux 高级路由即基于策略的路由比传统路由在功能上更强大，使用也更灵活，它不仅能够根据目的地址来转发路径而且也能够根据报文大小、应用或ip源地址来选择路由转发路径从而让系统管理员能轻松做到：1、管制某台计算机的带宽。2、管制通向某台计算机的带宽3、帮助你公平地共享带宽4、保护你的网络不受DOS的攻击5、保护你的Internet不受到你的客户的攻击6、把多台服务器虚拟成一台，并进行负...

linux禁用ip源路由,在Linux主机下配置基于源IP的策略路由

weixin_39580041的博客

05-05

1735

Linux系统自带的ip命令功能十分强大，选项也十分丰富，在使用Linux主机当网关，多ISP接入的环境下，常用的方式就是根据AS号来选择路由，即多用户共同使用一张路由表。而因系统自带的默认路由无法根据源IP进行选路，所以仅依靠默认路由来无法使资源得到充分的利用，这时候就可以利用ip命令来配置基于源IP的策略路由。其实系统维护着很多张的路由表，默认路由表只是其中的一张，路由表文件位于/etc/ip...

【Windows服务器】安全基线及安全加固指南V1.0.pdf

02-20

包括启用SYN攻击保护、ICMP攻击保护、SNMP攻击保护和禁用IP源路由等配置，以防止针对IP协议的攻击。 13. 防病毒检查建议启用数据执行保护（DEP）和配置防病毒软件以保护系统不受病毒和恶意软件的侵害。根据文档...

基线-h3c网络设备安全加固-检查的配置命令参考.xlsx

11-19

主要介绍h3C网络设备包含交换机、路由器、WLAN、防火墙V7设备安全加固的判断依据、检查方法、加固指南。

[ 安全加固基线规范 ] 网络设备安全配置基线.rar

02-11

[ 安全加固基线规范 ] 网络设备安全配置基线包含如下文档 Cisco路由器安全配置基线doc H3C交换机安全配置基线.doc Huawei路由安全配置基线.doc Juniper路由安全配置基线doc 中兴网络设备安全配置基线.doc

Linux系统加固：限制用户对资源的使用&禁止IP源路由&更改主机解析地址的顺序&设置umask值

✨ 欢迎来到【Seal ^_^ 的优快云博客】！✨

03-01

1万+

Linux系统加固：限制用户对资源的使用&禁止IP源路由&更改主机解析地址的顺序&设置umask值

ICMP协议的禁止

weixin_36759868的博客

11-08

6526

ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可

ip协议采用何种路由策略实现路由选择_干货！详解路由策略与策略路由的区别和联系...

weixin_34526733的博客

12-08

837

在网络设备维护上，现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词，但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻，无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念，并介绍一些事例，希望大家能从事例中得到更深的理解。路由策略路由策略，是路由发布和接收的策略。其实，选择路由协议本身也是一种路由策略。因为相同的网络结构，不同的路由协议因为实现的机制...

路由器关于源路由的处理

汗霖戈

10-19

1390

源路由：一些路由算法假定源结点来决定整个路径，这通常称为源路由。在源路由系统中，路由器只作为存贮转发设备，无意识地把分组发向下一跳。因此，如果数据报中包含有源路由信息，路由器是不会去查询路由表的，它不知道它要转发到的下一跳是否可达，但它还会发送。

源路由

weixin_51591328的博客

12-23

1106

源路由 源路由分为严格源路由和松散源路由。严格源路由要求发送方要给出到接收方所途经的每个节点列表，而松散源路由则仅需要给出部分关键节点列表，在转发的过程中，经过这些给出的节点即可 ...

Linux安全基线（三）配置6小项

bigwood99的博客

09-27

5148

通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0，系统将不接受任何ICMP重定向消息，因此，不允许外部人员更新系统的路由表。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段。在网络中，源路由允许发送者部分或完全指定通过网络的路由数据包。相反，非源路由数据包将通过网络中的路由器确定的路径。在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件。

linux中ip正在被请求,linux ip选项处理（二）

weixin_32254411的博客

05-05

428

ip选项处理(一)中讨论了syn包的发送过程对ip选项的处理，接下来分析接收syn并转发的过程(2)路由节点接收syn到转发syn我们知道ip层接收数据的函数调用过程是ip_rcv ---> ip_rcv_finish，在ip_rcv_finish中将会对ip选项进行处理static inline int ip_rcv_finish(struct sk_buff *skb){......if...

在Linux上测试网络的命令之Route----linux跨网段通信

qq_42779175的博客

01-09

3228

route 显示和设置linux系统的路由表。 route 显示和设置linux系统的路由表。查看路由信息 route -n route命令输出的路由表字段含义如下： Destination 目标网络或目标主机。Destination 为 default（0.0.0.0）时，表示这个是默认网关，所有数据都发到这个网关。 Gateway 网关地址，0.0.0.0 表示当前记录对应的 Destin...

Linux服务器性能评估与优化（五)--内核参数

最新发布

08-19

<think>嗯，用户这次询问的是信息安全基线测试的具体内容和常见标准。从问题表述来看，用户应该是个安全领域的从业者或学习者，需要系统性的知识梳理而非泛泛而谈。这类专业问题需要严谨的框架性回答。安全基线测试的核心在于"基准"二字。根据引用[1]和[2]，它本质是平衡安全成本与风险承受能力的标尺。用户可能真正关心的是：如何落地执行？检测哪些方面？引用[4]提到的Linux安全基线案例很有参考价值——它展示了从检查项到修复方案的完整链条。准备从三个维度构建回答框架：首先是技术层面（操作系统/网络/应用），这点引用[4]的ASLR机制案例很典型；其次是管理层面（配置/审计），引用[2]提到的等保合规对比思路需要强调；最后是标准体系，要突出NIST和CIS的权威性。注意到引用[3]强调"基线可更新"的特性，这点容易被人忽略但特别重要——安全基线不是静态的。在回答常见标准部分时，准备把ISO 27001和等保2.0并列说明，因为国内用户可能更关注后者实操。用户没有明确说是要企业级还是个人系统方案，但根据问题深度，判断是企业安全建设需求。在"加固建议"部分会特别标注"等保合规要求"这个关键词，引用[2]的差距分析方法正好用在这里。最后的相关问题设计成进阶路线：从实施步骤到工具选择，再到合规衔接，形成逻辑闭环。</think>信息安全基线测试是确保系统满足**最低安全要求**的核心手段，其内容涵盖技术与管理层面，常见标准如下： --- ### **一、安全基线测试核心内容** 1. **操作系统安全** - **身份鉴别**：检查口令复杂度、登录失败处理、特权用户权限分离（如 root 禁用直接登录） - **访问控制**：文件权限（如 `/etc/passwd` 权限应为 644）、用户组划分 - **入侵防范**： - 内核参数加固（如 ASLR 随机化内存地址，需 `kernel.randomize_va_space=2`[^4]） - 禁用高风险服务（如 telnet、FTP） - **审计机制**：系统日志完整性、审计策略覆盖关键操作（如 `auditd` 配置） 2. **网络设备与通信** - 网络隔离策略（VLAN 划分、防火墙规则） - 加密协议强制使用（如 SSHv2、TLS 1.2+） - 路由协议认证（如 OSPF/BGP 的 MD5 认证） 3. **应用与中间件** - Web 服务器（Apache/Nginx）：关闭版本信息泄露、限制 HTTP 方法（如禁用 PUT/DELETE） - 数据库（MySQL/Redis）：禁止空口令、绑定监听 IP（非 0.0.0.0） - 应用配置：会话超时时间、错误信息屏蔽 4. **安全审计与监控** - 集中日志收集（如 Syslog/ELK） - 关键操作审计（特权命令执行、文件修改） 5. **漏洞与补丁管理** - 定期扫描漏洞（如 OpenVAS） - 补丁更新策略（自动化工具如 WSUS/YUM） --- ### **二、常见基线标准与框架** | **标准名称** | **适用范围** | **核心特点** | |--------------------|-----------------------|------------------------------------------| | **CIS Benchmarks** | OS/云/数据库/中间件 | 提供分级配置建议（Level 1/2），可操作性强 | | **NIST SP 800-53** | 美国政府系统 | 覆盖技术/管理/运营全维度 | | **ISO/IEC 27001** | 企业信息安全管理体系 | 风险驱动，强调持续改进 | | **等保 2.0** | 中国关键信息系统 | 分等级要求（如三级等保需双因子认证） | > ▶️ **示例：Linux ASLR 检测与修复** > ```bash > # 检查 ASLR 配置 > sysctl kernel.randomize_va_space # 要求返回值=2 > # 加固方案（永久生效） > echo "kernel.randomize_va_space=2" >> /etc/sysctl.conf > sysctl -p # 即时生效 > ``` > *依据：CIS CentOS Linux 8 Benchmark v1.0.0 第 1.5.3 项*[^4] --- ### **三、基线测试实施流程** 1. **制定基线**：结合业务需求选择标准（如等保三级要求），裁剪配置项[^1] 2. **自动化扫描**： - 工具：OpenSCAP（支持 CIS/NIST）、Nessus（合规审计模板） - 输出差距报告（如未达标项风险等级）[^2] 3. **修复与验证**： - 高危项优先处理（如未修复的 CVE 漏洞） - 回归测试确认闭环 4. **持续监控**： - 基线版本管理（适应系统升级）[^3] - 定时扫描（如每月自动执行） > ⚠️ **注意**：基线需动态更新！例如云原生环境需增加容器安全配置（如 Kubernetes Pod 安全策略）[^3]。 --- ### **四、典型应用场景** - **合规驱动**：满足等保 2.0/ISO 27001 认证要求 - **云安全**：AWS/Azure 安全中心内置 CIS 基线检查 - ** DevOps 集成**：在 CI/CD 管道中加入基线扫描（如 Ansible 自动化加固）通过基线测试，可在**控制安全成本**的同时，将风险降至可接受水平[^1]。实际执行中需平衡严格性与可用性——过度加固可能导致业务异常！ ---

基线加固 禁止源路由转发

检查方法：

加固步骤：

基线加固禁止源路由转发