Linux安全基线（五）配置8小项

27.确保已禁用cramfs文件系统的挂载
该cramfs文件系统的类型是压缩只读的Linux文件系统嵌入在小尺寸系统。甲cramfs图像可无需先解压缩图像中使用。
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件
例&＃xff1a; vim /etc/modprobe.d/cramfs.conf
并添加以下行&＃xff1a;
install cramfs /bin/true
运行以下命令以卸载cramfs模块&＃xff1a;
 rmmod cramfs

28.确保已配置/etc/crontab的权限
/etc/crontab文件用于cron控制自己的作业。此项中的命令确保root是文件的用户和组所有者&＃xff0c;并且只有所有者可以访问该文件
运行以下命令来设置/etc/crontab所有权和权限&＃xff1a;
 chown root:root /etc/crontab
 chmod og-rwx /etc/crontab

29.确保禁用squashfs文件系统的挂载
squashfs文件系统类型是一个只读压缩文件系统&＃xff08;类似 cramfs&＃xff09;。squashfs图像无需压缩就可以使用。
在/etc/modprobe.d/以.conf结尾的目录中编辑或创建文件
例&＃xff1a; vim /etc/modprobe.d/squashfs.conf
并添加以下行&＃xff1a;
install squashfs /bin/true
运行以下命令以卸载squashfs模块&＃xff1a;
rmmod squashfs

30.确保禁用TIPC
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件
例&＃xff1a; vim /etc/modprobe.d/tipc.conf
并添加以下行&＃xff1a;
install tipc /bin/true

31.确保禁用RDS
RDS协议是一种传输层协议&＃xff0c;旨在提供群集节点之间的低延迟&＃xff0c;高带宽通信。它是由Oracle Corporation开发的。
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件
例&＃xff1a; vim /etc/modprobe.d/rds.conf
并添加以下行&＃xff1a;
install rds /bin/true

32.确保限制挂载vFAT文件系统
确保限制挂载vFAT文件系统&＃xff0c;vFAT文件系统格式&＃xff0c;主要用于在老版本的Windows系统和便携式USB驱动器或闪存模块。
在/etc/modprobe.d/目录以.conf结尾的文件中编辑或创建文件&＃xff0c;例如&＃xff1a;vim /etc/modprobe.d/vfat.conf
install vfat /bin/true
运行以下命令以卸载vfat模块&＃xff1a;
# rmmod vfat32

33.确保禁用DCCP
DCCP是支持流媒体的传输层协议。DCCP提供了一种访问拥塞控制的方法&＃xff0c;而不必在应用程序层进行&＃xff0c;但不提供按序传递。
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件
例&＃xff1a; vim /etc/modprobe.d/dccp.conf
并添加以下行&＃xff1a;
install dccp /bin/true

34.确保禁用SCTP
SCTP是一种传输层协议&＃xff0c;用于支持面向消息的通信&＃xff0c;一个连接中有多个消息流。它兼有TCP和UDP的功能。它像UDP一样是面向消息的&＃xff0c;并通过诸如TCP的拥塞控制来确保可靠的消息顺序传输
在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件
示例&＃xff1a;vim /etc/modprobe.d/sctp.conf
并添加以下行&＃xff1a;
install sctp /bin/true