System Port Security (系统端口安全) – Page 3

August 29, 2024November 22, 2024

[步骤] Linux 应用可自动随机使用的 IPv4 端口号范围的设置

步骤一：查看应用可自动随机使用的 IPv4 端口号范围

1.1 方法一：查看 /proc/sys/net/ipv4/ip_local_port_range

# cat /proc/sys/net/ipv4/ip_local_port_range
32768 65536

（补充：从这里的输出结果可以看出应用可自动随机使用的 IPv4 端口号是从 32768 到 65536）

1.2 方法二：查看 sysctl 参数

# sudo sysctl -a | grep net.ipv4.ip_local_port_range
net.ipv4.ip_local_port_range = 32768 65536

（补充：从这里的输出结果可以看出应用可自动随机使用的 IPv4 端口号是从 32768 到 65536）

步骤二：设置应用可随机自动使用的 IPv4 端口号范围

2.1 临时设置应用可自动随机使用的 IPv4 端口号范围

# echo "32768 65536" > /proc/sys/net/ipv4/ip_local_port_range

（补充：这里以设置应用可自动随机使用的 IPv4 端口号是从 32768 到 65536 为例）

2.2 永久应用应用可自动随机使用的 IPv4 端口号范围

2.2.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
net.ipv4.ip_local_port_range = 32768 65536

（补充：这里以设置应用可自动随机使用的 IPv4 端口号是从 32768 到 65536 为例）

2.2.2 让刚刚修改的 /etc/sysctl.conf 文件里的参数生效

# sysctl -p

February 9, 2024February 9, 2024

[排错] Linux 解决使用 wget 命令时报错 “Unable to establish SSL connection.”

报错代码：

GnuTLS: No or insufficient priorities were set.
Unable to establish SSL connection.

分析：

如果客户端和服务端的 TLS 版本不匹配，就会出现此类报错

解决方法：

# wget --secure-protocol=TLSv1 <URL>

July 27, 2023December 21, 2023

[步骤] Linux SSH 加密算法、全局加密算法、全局 Hash 算法、全局 TLS 版本、全局密钥加密算法的设置 (使用自定义 crypto policies 文件) (RHEL 8 版)

步骤一：确定 CRYPTO_POLICY= 参数

# vim /etc/sysconfig/sshd

确保部分内容如下：

......
# CRYPTO_POLICY=
......

步骤二：创建自定义 crypto policies 文件

# vim /etc/crypto-policies/policies/modules/CUSTOMER.pmod

创建以下内容：

# SSH Ciphers, Key-Exchange, Hash-Algorithms
ssh_cipher = AES-128-GCM AES-256-GCM
key_exchange = ecdh-sha2-nistp256 ecdh-sha2-nistp384
mac = HMAC-SHA2-256 HMAC-SHA2-256

# Global Ciphers
cipher = AES-128-GCM AES-256-GCM

# Global Hash
hash = SHA2-256 SHA2-384

# Global TLS
tls_cipher = AES-128-GCM AES-256-GCM
protocol = TLS1.3 TLS1.2
min_tls_version = TLS1.2

# Parameter sizes
min_dh_size = 4096
min_dsa_size = 4096
min_rsa_size = 4096

（
补充：这里以设置：
1) 创建名为 CUSTOMER.pmod 的自定义 crypto policies 文件
2) SSH cipher 是 AES-128-GCM 和 AES-256-GCM，SSH key_exchange 是 ecdh-sha2-nistp256 和 ecdh-sha2-nistp384，SSH mac 是 HMAC-SHA2-256 和 HMAC-SHA2-256
3) 全局 cipher 是 AES-128-GCM 和 AES-256-GCM
4) 全局 Hash 是 SHA2-256 和 SHA2-384
5) 全局 TLS cipher 是 AES-128-GCM 和 AES-256-GCM，TLS 版本必须要高于 TLS1.2
6) 全局加密算法 dh 必须要高于或等于 4096 位，dsa 必须要高于或等于 4096 位，rsa 必须要高于 4096
为例
）

步骤三：选择创建的自定义 crypto policies 文件

3.1 选择创建的自定义 crypto policies 文件

# update-crypto-policies --set DEFAULT:CUSTOMER

（补充：这里以选择名为 CUSTOMER.pmod 的自定义 crypto policies 文件为例）

3.2 让选择的自定义 crypto policies 文件

# update-crypto-policies

步骤四：确认选择的自定义 crypto policies 文件生效

# update-crypto-policies --show
DEFAULT:CUSTOMER

或者：

# cat /etc/crypto-policies/state/current
DEFAULT:CUSTOMER

（补充：这里显示选择了名为 CUSTOMER.pmod 的自定义 crypto policies 文件）

April 18, 2023July 9, 2023

[CONTENT] System local ports batch occupation

Content One: Occupy system local ports manually

# startport=33000;endport=34000;for i in $(seq $startport $endport);do nc -lk $i &;done

(Add: Take start port is 33000 and end port is 34000 as an example here)

Content Two: Release all ports which are opened manually (kill all nc command processes)

# for i in $(ps -aux | grep nc | grep '\-lk' | awk '{print $2}');do kill $i; done

February 17, 2023June 26, 2025

[步骤] Linux SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）的设置（Ciphers 参数、MACs 参数和 KexAlgorithms 参数的设置）（RHEL 8 版）

正文：

步骤一：确定 CRYPTO_POLICY 参数没有生效

# vim /etc/sysconfig/sshd

确保部分内容如下：

......
# CRYPTO_POLICY=
......

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# cp /etc/crypto-policies/back-ends/opensshserver.config /etc/crypto-policies/back-ends/opensshserver.config.backup

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 算法（algorithms）和加密方式（ciphers）：

（内容略）

（注意：如果需要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm），已包含在其中了则可以不用添加）

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

# printf "%s\n" $(source /etc/crypto-policies/back-ends/opensshserver.config; echo $CRYPTO_POLICY) | cut -c3-
Ciphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
MACs=hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
GSSAPIKexAlgorithms=gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
PubkeyAcceptedKeyTypes=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
CASignatureAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa

（补充：这里以显示 RHEL 8 默认使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）为例）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

# systemctl restart sshd

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（ciphers）

4.1.1 测试某个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH 加密方式（cipher）为例）

4.1.2 测试多个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH 加密方式（cipher）为例）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（message authentication code）

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH 信息验证代码（message authentication code）为例）

4.2.2 测试多个 SSH 信息验证代码（message authentication code）

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH 信息验证代码（message authentication code）为例）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 sshd 命令显示所有在使用的加密方式（cipher）、信息验证代码（message authentication code）

# sshd -T | egrep -i "ciphers|macs|kexalgorithms"

4.3.2 使用 nmap 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

4.3.3 使用 nmap 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

# ssh -vvv 127.0.0.1