标签:安全

CISCO设备安全配置脚本

No Comments CISCO ,

网络安全重中之重顶在最前面的当然更重要.

service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;

service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;

service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;

本文出自 “千金难买” 博客

linux服务器安全设置

No Comments Linux

1.禁止ping
/etc/rc.d/rc.local
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2.对用户和口令文件进行权限控制
chmod 600 /etc/passwd
chmod 600 /etc/shadow
chmod 600 /etc/group
chmod 600 /etc/gshadow
3.给下面文件加上不可更改属性
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
4.对vsftp进行访问控制
vi hosts.deny
vsftpd: all      –先禁止所有vsftp的请求
vi hosts.allow
vsftpd: 192.168.2.1  –再允许内网的vsftd请求
5.关闭无用端口,只开启常规端口(21、22、80、443)
service portmap stop
chkconfig –level 35 portmap off     –关闭111端口
netstat -nap |grep 32768
killall rpc.statd                    –关闭32768端口
netstat -nap |grep 631
killall cupsd                        –关闭631端口
service sendmail stop
chkconfig –level 12345 sendmail off   –关闭25端口
6.apache安全设置(先备份httpd.conf配置文件)
vi /etc/httpd/httpd.conf
ServerSignature Off
ServerTokens Prod          —隐藏Apache的版本号及其它敏感信息
<Directory>
Options -ExecCGI -FollowSymLinks -Indexes    –关闭CGI执行程序、includes、目录浏览
</Directory>
将UserDir public_html改为UserDir disabled
#ScriptAlias /cgi-bin "/usr/local/apache/cgi-bin/"
注释掉manual
7.vi /etc/profile
HISTFILESIZE=30
HISTSIZE=30       –这表示每个用户的“.bash_history”文件只可以保存30条旧命令
tmout=600         –用户将在10分钟无操作后自动注销
vi /etc/skel/.bash_logout
rm -f $HOME/.bash_history    –当用户每次注销时,“.bash_history”文件都会被删除。
vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
/sbin/init q   –让改动起作用
8.删除无法帐户和组
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
userdel news
userdel uucp
userdel operator
userdel games
userdel ftp
groupdel adm
groupdel lp
groupdel mail
groupdel news
groupdel uucp
groupdel games
==================================================================================================
你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案: 禁用这些方式。
如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* – [F]
===================================================================================================
下面简单的说一些修改那些服务Banner的方法
apache
彻底地去掉banner, 修改httpd.h:
Include/httpd.h
Define SERVER_BASEVENDOR "Apache Group"
Define SERVER_PRODUCTVENDOR "Apache"
Define SERVER_BASEVERSION "1.3.27"
后从新编译Apache就能够完全去掉了
Wu-ftp
用十六进制文本编辑器修改/usr/sbin/in.ftpd文件,找到如下几行:
/var/log/lastlog
Could not write %.100s: %.100s
Version wu-2.6.1-16
改成
Microsoft FTP Service (Version 5.0)
或者
Serv-U FTP Server v4.0 for WinSock ready…
Telnet banner
编辑文件/etc/issue.net,找到类似这行(不同版本的Linux内容不太一样):
Red Hat Linux release 8.0 (Psyche)
Kernel \r on an \m
改成
Microsoft Windows Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99206.1
由于issue.net重启后会自动恢复,为了保持这些伪造的信息,需要再编辑文件/etc/rc.local,在这些行前加“#”号,注释掉恢复的功能:
# echo "" > /etc/issue
# echo "$R" >> /etc/issue
# echo "Kernel $(uname -r) on $a $SMP$(uname -m)" >> /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo >> /etc/issue
Apache
在安装Apache前,在源文件/src/include目录下找到httpd.h头文件。此文件定义了apache的版本信息,apache安装时需要调用它。编辑http.h文件,找到如下几行:
#define SERVER_BASEVENDOR   "Apache Group"
#define SERVER_BASEPRODUCT  "Apache"
#define SERVER_BASEREVISION "1.3.20"
可以根据自己的意愿改成其他信息,笔者改的是Microsoft-IIS/5.0。
SSH
编辑文件/etc/ssh/sshd_config,找到这行:
Banner /etc/issue.net
在此行前加#进行注释就可以不显示SSH的Banner。
Sendmail
在sendmail.mc文件中去掉$v、$z这两个宏,并包含下面的内容:
define(`confSMTP_LOGIN_MSG’,$j Sendmail Secure/Rabid;$b)
然后生成sendmail.cf文件:
#m4 /etc/mail/sendmail.mc > /etc/sendmail.cf
如果sendmail.mc中没有include(`/usr/share/sendmail-cf/m4/cf.m4′)这一行就需要和Sendmail提供的预设的配置文件cf.m4一起使用来生成文件sendmail.cf:
#m4 /usr/share/sendmail-cf/m4/cf.m4 /etc/mail/sendmail.mc > /etc/sendmail.cf
php
vi php.ini
设置 expose_php = Off

 

by fanqiaming