linux-等保三级脚本(1)

已于 2024-01-16 11:19:13 修改
阅读量843 收藏 13
点赞数 11
文章标签: linux 运维 服务器
于 2024-01-16 11:17:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GGB_GG/article/details/135618729
版权

该脚本主要是针对 CentOS Linux 7 合规基线加固的一些配置操作,包括创建用户、安全审计配置、入侵防范配置、访问控制配置、身份鉴别策略配置等。如果您需要在脚本中添加公司网址,您可以在适当的位置添加相应的内容。不过请注意,在实际生产环境中,建议谨慎进行脚本修改和执行,以免造成意外的影响。

#!/bin/bash
# CentOS Linux 7基线标准系统-等保三级-CentOS Linux 7合规基线加固
 
#定义脚本执行时间日志
bash_run(){
mkdir /etc/funi_bash -p
echo date +"%Y-%m-%d %H:%M:%S" > /etc/funi_bash/safe_date.log
}
 
#判断是否执行加固脚本
check_bash(){
if [ -e /etc/funi_bash/safe_date.log ]; then
message=`cat /etc/funi_bash/safe_date.log`
echo 该服务器已于$message执行加固脚本,请确认是否继续执行
else
 
createuser
dengbao_bash
fi
 
}
#新建funi用户
createuser(){
useradd funi
if [ -z "$1" ]; then
echo "未传入密码,使用默认密码创建用户funi成功"
echo 'Funi_2021rjy' | passwd --stdin funi
echo "funi ALL=(ALL) ALL" >> /etc/sudoers
else
echo "使用自定义密码创建用户funi成功"
echo '$1' | passwd --stdin funi
echo "funi ALL=(ALL) ALL" >> /etc/sudoers
fi
}
 
 
check_bash
dengbao_bash(){
# 修改密码最大有效期为180天
sed -i.bak -e 's/^\(PASS_MAX_DAYS\).*/\1 180/' /etc/login.defs
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
chage --maxdays 180 root
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 修改两次修改密码的最小间隔时间为7天
sed -i.bak -e 's/^\(PASS_MIN_DAYS\).*/\1 7/' /etc/login.defs
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
chage --mindays 7 root
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
 
# 修改密码必须包含四种字符
sed -i 's/# minclass = 0/minclass = 3/g' /etc/security/pwquality.conf
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
# 修改密码最短为9位
sed -i 's/# minlen = 9/minlen = 9/g' /etc/security/pwquality.conf
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
# 密码设置及登陆控制文件/etc/pam.d/password-auth 禁止使用最近用过的5个密码 remember=5
sed -i 's/password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok/password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5/g' /etc/pam.d/password-auth
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 密码设置及登陆控制文件/etc/pam.d/system-auth 禁止使用最近用过的5个密码 remember=5
sed -i 's/password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok/password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5/g' /etc/pam.d/system-auth
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
# 用户重新尝试输入密码的次数设为4
sed -i 's/#MaxAuthTries 6/MaxAuthTries 4/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
echo 'Protocol 2' >> /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
# ssh服务端每900秒向客户端发送一次消息,以保持长连接
sed -i 's/#ClientAliveInterval 0/ClientAliveInterval 900/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
# 客户端3次超时即断开客户端
sed -i 's/#ClientAliveCountMax 3/ClientAliveCountMax 3/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# SSH 日志级别设置为INFO,记录登录和注销活动
sed -i 's/#LogLevel INFO/LogLevel INFO/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
service sshd restart
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
sed -i '/# User/a\auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900' /etc/pam.d/password-auth
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
 
sed -i '/# User/a\auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900' /etc/pam.d/system-auth
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
echo 'TMOUT=900' >> /etc/profile
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 禁止root登录
sed -i 's/PermitRootLogin no/PermitRootLogin yes/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
service sshd restart
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置 主机允许策略文件/etc/hosts.allow 的属组和属主为root
chown root:root /etc/hosts.allow
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置 主机拒绝策略文件/etc/hosts.deny 的属组和属主为root
chown root:root /etc/hosts.deny
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置 主机允许策略文件/etc/hosts.allow的权限为644
chmod 644 /etc/hosts.allow
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置 主机拒绝策略文件/etc/hosts.deny的权限为644
chmod 644 /etc/hosts.deny
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置用户/组 的用户和密码文件属主属组为root
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置组文件 的权限为0644
chmod 0644 /etc/group
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置用户文件 的权限为644
chmod 0644 /etc/passwd
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置用户的密码文件为0400只读,禁止修改用户密码
chmod 0400 /etc/shadow
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置组密码文件为0400制度, 禁止修改组密码
chmod 0400 /etc/gshadow
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置sshd主配置文件属主属组为root
chown root:root /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置sshd主配置文件权限为0600
chmod 600 /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置/etc/profile文件属主属组为root
chown root:root /etc/profile
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 设置/etc/profile文件权限为644
chmod 644 /etc/profile
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 开机自启安全审计服务并现在启动
systemctl enable --now auditd
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 开机自启日志服务并现在启动
systemctl enable --now rsyslog
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 定义安全审计规则
echo '-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete -a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete' >> /etc/audit/rules.d/audit.rules
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 定义安全设计规则
echo '-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete -a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete' >> /etc/audit/audit.rules
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 定义安全审计规则
echo ' -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity' >> /etc/audit/rules.d/audit.rules
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 定义安全审计规则
echo ' -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity' >> /etc/audit/audit.rules
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 定义安全审计规则
echo ' -w /etc/sudoers -p wa -k scope -w /etc/sudoers.d/ -p wa -k scope' >> /etc/audit/rules.d/audit.rules
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 定义安全审计规则
echo ' -w /etc/sudoers -p wa -k scope -w /etc/sudoers.d/ -p wa -k scope' >> /etc/audit/audit.rules
if [ "$?" == 0 ]
then
echo -e "\033[32m True \033[0m"
else
echo -e "\033[31m False \033[0m"
fi
 
# 暂停rpcbind服务--nfs需要依赖rpcbind服务来实现客户端和服务器的路由请求
systemctl disable --now rpcbind &>/dev/null
systemctl disable --now rpcbind.socket &>/dev/null
}
#执行日志写入
bash_run
# systemctl stop rpcbind &>/dev/null
# systemctl stop rpcbind.socket &>/dev/null
# systemctl disable rpcbind.socket &>/dev/null
# systemctl disable rpcbind.socket &>/dev/null

old_GGB
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
等级保护2.0三级-Linux测评指导书V1.0.pdf
09-11
等级保护2.0三级linux测评指导书。应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1) 使用 root 权限的账户登录操作系统后, 使用命令 more查看/etc/shadow 文 件,核查第二列是否为空,为空即存在空口令账户 2) 使用命令 more 查看/etc/login. defs 文件,查看是否设置密码长度和定 期更换要求,使用命令 more查看/etc/pam.d/system-auth 文件。查看密码长 度和复杂度要求,记录 PASS MAX_DAYS 、PASS MIN_DAYS 、PASS MIN_LEN 、
linux基线检查、基线加固、安全漏扫、系统漏洞、centos7、文尾部附脚本
swindy博客
12-06 4589
等保三级-CentOS Linux 7合规基线检查 风险分类:系统-等保三级-CentOS Linux 7合规基线检查 检测项说明: CentOS Linux 7合规基线检查,对标中国等保2.0第三级等级保护基本要求部分检查项目,仅供参考 检查项目 : 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 加固建议: 1、执行`cat /etc/shadow | awk -F: '($2 == "" ) { print $1}' `, 查看空密码账户并处理; 2、
最强linux安全加固脚本2.0
IT运维技术圈
09-08 67
那么继上次波哥推出了服务器安全加固脚本以来广受好评,这次波哥给各位带来了更牛的安全加固2.0脚本.来看看他的执行效果吧:操作说明:1、执行CheckScript.sh脚本文件进行检查,命令格式如下 sudosh CheckScript.sh|teecheck_`date+%Y%m%d_%H%M%S`.txt 检查说明: 此脚本是按三级等保要求,编写的一键检查脚本, 此脚本只适合lin...
Linux系统检测和防护脚本
u014779378的博客
11-13 2138
1、方便将服务器安全情况通过检测脚本直接输出txt文件,同时便于检查出安全隐患。 2、缩短安全检查和防护时间,提高安全检查和防护效率 github地址 https://github.com/xiaoyunjie/Shell_Script.git 一、Linux检测脚本 1.1、文件 压缩包包含2个文件: CentOS_Check_Script.sh : 脚本文件 README.txt :...
等保三级主机整改建议(linux版)
最新发布
m0_64546445的博客
12-29 1121
身份鉴别本文章针对于等级保护主机三级整改建议,仅作为参考使用身份鉴别我们使用以下命令进入login.defs这个文件,然后修改25-28行,其中PASS_MAX_DAYS代表密码最大有效期,PASS_MIN_DAYS代表密码最小长度,PASS_MIN_LEN代表密码最短天数;一般设置密码有效期在90天内,长度最小为8位;密码复杂度则需要进入到pwquality.conf文件去修改其中minlen 代表密码最小长度;
[等保]linux主机检查脚本.sh
10-19
等保linux主机检查脚本
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
swindy博客
07-21 1450
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
linux安全加固-三级等保(一)
天道酬勤
06-21 1367
linux安全加固
Linux系统一键检测和加固脚本
公众号:乌云安全
02-16 1319
Linux系统一键检测和加固脚本主要是为了Linux系统的安全,通过脚本Linux系统进行一键检测和一键加固。
Linux操作系统等保三级(整改方案)
枪菜且白给的博客
06-08 5205
1、应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(tail -20/var/log/audit/audit.log(查看最近20行日志);例如要监控/etc/passwd 文件的修改行为,可以使用这个命令: #auditctl -w /etc/passwd -p wa。也可以自己将上述内容加入到文件/etc/audit/rules.d/audit.rules 中即可实现对该文件的监视。控制规则可以在/etc/audit/audit.rules 中设置。
Linux-Learning
04-16
Linux-Learning 好的教程 第1阶段:把linux系统玩得跟Windows或者MacOS那样的桌面操作系统一样顺畅,主要目的就是去可视化,熟悉黑白命令行界面,可以仅仅以键盘交互模式完成常规文件夹及文件管理工作。 第2阶段:做到文本文件的表格化处理,类似于以键盘交互模式完成Excel表格的排序、计数、筛选、去冗余,查找,切割,替换,合并,补齐,熟练掌握awk,sed,grep这文本处理的三驾马车。 第3阶段:元字符,通配符及shell中的各种扩展,从此linux操作不在神秘! 第4阶段:高级目录管理:软硬链接,绝对路径和相对路径,环境变量 第5阶段:任务提交及批处理,脚本编写解放你的双手 第6阶段:软件安装及conda管理,让linux系统实用性放飞自我 常规文件夹及文件管理工作 连接远程服务器 根据IP和用户名密码连接远程服务器(使用Xshell,finalshell ,Sec
一个Linux系统安全设置的Shell脚本的分享(适用CentOS)
09-15
主要介绍了一个设置Linux系统安全的Shell脚本的分享,适用CentOS,包含大部份的安全设置,只需执行脚本就可以得到一个相对安全的Linux系统了,需要的朋友可以参考下
Linux 运维 入门到高级
08-28
linux企业实战运维入门到高级系列 ubuntu Centos 面试题合集 MySQL Nginx 搭建私有Yum仓库 搭建本地第三方源epel 升级内核 脚本合集 修改自动获取ip .ubuntu换国内源 CentOS硬盘分区 搭建网站 8.1linux上配置环境并启动 8.2Nginx配置https证书 xshell系列问题 .linuxSRE架构图 ubuntu换国内源 加密和安全 搭建DNS服务器 Linux防火墙 WEB服务器APACHE LAMP架构 日志服务管理 网络文件共享服务 备份硬盘数据 管理存储三要素 逻辑卷实现 转移硬盘步骤 逻辑卷快照 开启路由转发 网桥的实现 正在访问文件被删复原 作业管理 Linux启动流程 Linux根据端口号查看被占用的服务 升级gcc编译器 自动化运维 安装kickstart文件(半自动化) ANSIBLE部署 企业级OpenVPN 安装OpenVPN 该笔记由刘森飚整理,版权归原作者所有 仅用于学习交流分享,如有争议请联系下架
2018年Linux系统安全检查、加固shell脚本
11-20
2018年最新Linux系统安全检查、系统加固shell脚本,可过三级等保脚本
Linux系统一键安全加固shell脚本及使用说明.rar
01-28
Linux系统一键安全加固shell脚本及使用说明。已经在centos7上验证后的,欢迎大家下载。
linux安全加固
11-27
linux等保三级安全加固操作手册和说明文档,批量执行加固脚本
Linux 系统检测和加固脚本
段帅星的博客
02-23 1984
获取脚本(建议使用前找测试机器验证后在线上环境使用) git clone https://github.com/duanshuaixing/Shell_Script.git 一、检查脚本 CentOS_Check_Script.sh 功能说明 此脚本是按三级等保要求,编写的一键检查脚本,此脚本只适合linux分支中的redhat、centos,运行脚本将结果输出到自定义的文件中,脚本结果需要人为检查。 此检查脚本包含以下几块内容: 系统基本信息 资源使用情况 系统用户情况 身份鉴别安全 访问控制安全 安
Linux服务器等保加固脚本/检测脚本
NatChan的博客
04-11 860
Linux服务器等保加固脚本/检测脚本
linux三级地址,linux(二) 应等保三级要求整改方案
weixin_34420979的博客
05-13 944
一、身份鉴别1.1 密码复杂度及策略第一种修改 /etc/login.defs 文件内容即可# 密码最大有效期PASS_MAX_DAYS 90# 两次修改密码的最小间隔时间PASS_MIN_DAYS 90# 密码最小长度,对于root无效PASS_MIN_LEN 8# 密码过期前 7 天开始提示PASS_WARN_AGE 7第二种vim /etc/pam.d/system-aut...
linux命令行与shell脚本编程大全 第4版
12-12
Linux命令行与Shell脚本编程大全 第4版》是一本经典的Linux命令行和Shell脚本编程方面的参考书。这本书的作者是Richard Blum和Christine Bresnahan,他们通过深入浅出的方式,全面介绍了Linux命令行和Shell脚本的概念、基础知识和实际应用。 本书的第一部分涵盖了Linux的基本知识,包括如何安装和配置Linux操作系统,如何使用终端和命令行,以及如何使用虚拟终端和远程登录等。这些内容对于初学者来说非常有用,可以让他们迅速上手Linux系统。 第二部分是本书的重点,详细介绍了Linux命令行的各个方面。从基本的文件和目录操作,到网络和系统管理等,每个章节都通过实例演示了具体的命令和用法。同时,为了帮助读者更好地理解和使用这些命令,作者还提供了常见的问题和解决方案。 第三部分是关于Shell脚本编程的内容,包括Shell脚本的基本语法、变量和运算符等。此外,还介绍了如何编写实用的脚本,如文件管理、文本处理和系统监控等。这些脚本可以帮助读者提高工作效率,自动化重复性的操作。 除了基础知识,本书还进一步介绍了Linux系统的高级用法,如进程管理、系统调试和Shell编程技巧等。通过阅读本书,读者不仅可以掌握Linux命令行和Shell脚本编程的基本知识,还可以提高工作效率,解决实际问题。 总之,《Linux命令行与Shell脚本编程大全 第4版》是一本非常实用的Linux命令行和Shell脚本编程方面的参考书,适合初学者和有一定经验的用户阅读。无论是系统管理员、开发人员还是普通用户,都可以从中受益,提升对Linux系统的理解和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值