Linux系统一键安全加固shell脚本编写思路

最新推荐文章于 2024-04-30 17:22:36 发布
最新推荐文章于 2024-04-30 17:22:36 发布
阅读量1.4k 收藏 15
点赞数 1
分类专栏: shell脚本编程 文章标签: shell linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq453198/article/details/112980639
版权

本次分享一下个人在对Linux系统一键安全加固shell脚本编写时的一些思路:

Linux系统一键安全加固shell脚本编写思路

1.编写须知

要写一个这样的功能性的脚本,首先要知道:

1.1 脚本使用说明

1.适用对象:linux系统Centos 7
2.要考虑本次的安全加固是否自带重置,有安全设置与系统的业务有冲突时,需要自行检查。
3.本脚本仅用于一次性安全加固,不用于安全修复。

1.2 主要功能说明:

需要了解本次脚本一键加固默认安全功能选项有哪些,以下为个人编写的相关安全功能:
1.开启防火墙,默认开启22端口,其他已放行端口不会关闭;
2.禁止telnet运行,禁止开机启动;
3.加强用户密码强度和限制登录错误次数、设置自动注销时间;
4.开启审核策略;
5.日志审计记录6个月;
6.禁止蓝牙启动;
7.DOS攻击防御;
8.记录历史命令。

1.3隐藏或附加功能说明:

在确认主要功能后,就需要考虑一些次要的功能,有的附加功能要以脚本使用说明出发,有的是不必要的,有的是必要的,根据个人经验而定。
比如:
1.默认检测网络是否畅通。
2.在/etc目录下产生safe.log一键加固日志。
3.一键加固后,再次运行脚本可以检查本系统是否已经运行过本脚本。
4.一键加固后,再次运行脚本可以选择增加要开启的端口号。
5.隐藏在有网络时,如果有的功能需安装一些插件,需提前写好安装该插件的脚本。
6.脚本再次运行时,检测判断此脚本是否运行过。

2.编写思路

2.1.优先写主体框架

比如:系统显示、目录功能。比如如下代码:

select_safe(){
cat <<-EOF

一键加固默认安全选项包括:
1.开启防火墙,默认开启22端口;
2.禁止telnet运行,禁止开机启动;
3.加强用户密码强度和限制登录错误次数、设置自动注销时间;
4.开启审核策略;
5.日志审计记录6个月; 
6.禁止蓝牙开机启动;
7.DOS攻击防御;
8.记录历史命令。"

========选择安全加固选项=======
    1 输入1选择默认一键加固
    2 输入2或者其他任意按钮选择退出
===============================
EOF
}
2.2.确认每个主要功能的函数。

比如:

function_main(){
read -p "请输入数字选择功能:" safe
case "$safe" in
1)
echo "开始一键加固......"
#主要功能函数启动代码
firewall_on
telnet_off
usermanage_on
auditd_on
log_on
bluetooth_off
ddos_on
historycomand_on
print_result_one
;;
*)
echo " 退出 "
exit 1
;;
esac
}

根据每一个主要功能的函数去填充相应的功能代码,本文就不列出所有主要功能代码。
比如其中的主要功能之一的防火墙开启代码:

firewall_on(){
systemctl start firewalld
echo "防火墙是 ` sed -n '3p' /fw.log|awk '{print $2}' ` "
echo "添加ssh端口22 ` firewall-cmd --zone=public --add-port=22/tcp --permanent ` "
}
2.3.隐藏和附件功能编写

隐藏功能一般是在编写主要功能代码时,才会知道需要哪些隐藏或者附加功能。根据个人经验而定。
比如有的系统是没有iptables功能插件的,就需要安全,那要安装就需要网络。
针对每一个隐藏或者附加的功能,再利用相关的函数去实现这些功能。
比如检查网络是否畅通

network(){
net_ok=" `curl -I -s www.baidu.com |sed -n "1p"|awk '{print $NF}'|sed s/[[:space:]]//g ` "
if [ $net_ok = "OK" ];then
#1表示网络畅通
network_status=1
action "网络状态:有网络."   /bin/true
else
#0表示网络不畅通
network_status=0
action "网络状态:无网络."   /bin/false
echo "无网络,可能会影响相关安全功能部署"
fi
}
2.4.验证功能配置结果。

再完成整体主要框架后,就需要去验证,这些主要的安全功能是否已经配置成功。
比如一键验证的功能,

print_result_one(){
echo "==============================="
echo "本次一键安全加固结果如下:"
firewall_result
telnet_result
usermanage_result
auditd_result
log_result
bluetooth_result
ddos_result
historycomand_result
echo "执行用户:`logname` 执行ip:`ifconfig ens33|sed -n '2p'|awk '{ print $2 }'`  一键加固执行时间:`date`   " >> /etc/safe.log
echo "1" >>/etc/safe.log
echo "==============================="
}

举例验证防火墙安全功能是否成功:
(个人在结果验证上,未作更多考虑,仅针对了一键加固,未在加固后的安全结果进行全面验证)

firewall_result(){
if [ " ` sed -n '3p' /fw.log|awk '{print $2}' ` "="active" ];then 
action "1.开启防火墙,默认开启22端口;"  /bin/true
else
action "1.开启防火墙,默认开启22端口;"  /bin/false
fi 
}
2.5.测试脚本功能是否完整。

在写完脚本后需要根据功能需求去测试、脚本是否有bug或者错误的地方。靠个人能力和熟练度去修复这些bug了。
温馨提示:因为功能需求,有的需求缺陷和bug,都是不重要的bug,可以忽略。

3.操作说明

1.将safe_linux.sh放入linux系统任意目录下 输入 sh safe_linux.sh 即可运行本此脚本。
2.根据系统提示,选择相应功能。
3.如需查看加固日志,输入 cat /etc/safe.log

4.总结

不管是写脚本还是写相关程序的代码,都是需要有很好的逻辑,根据需求逻辑,将相关代码编写处理。写的代码越多,就越熟练,完成的时间就越短,bug就相对更少。
由于个人编写的代码有近440行,就不方便完全分享出来,有需要的可以自行去下载、使用学习。
Linux系统一键安全加固脚本下载链接

青菜萝卜秧
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统安全加固
xiejin007的博客
04-27 390
linux系统安全加固linux系统安全加固 linux系统安全加固 脚本 系统加固脚本下载地址: https://download.csdn.net/download/hzgnet2021/63201374 时间获取 脚本开头先获取本机时间 #Variable rq=`date +%Y%m%d` Linux禁用不使用的用户 将passwd先复制一份备份,然后将以下不使用的用户都禁用,如后期有需要恢复可使用 passwd -u lp 来进行恢复 #account setup echo '
Linux系统安全加固脚本
weixin_33750452的博客
03-25 661
闲来无事,整理一个系统安全加固脚本,每个公司的要求不一样,所以仅供参考:#!/bin/shecho "00 */1 * * *  /usr/sbin/ntpdate 192.168.1.1 &gt;&gt;/var/log/ntpdate.log" &gt; mycrontabcrontab  mycrontabrm -rf mycrontab/usr/sbin/ntpdate 192.168.1...
2024年Linux最全Linux安全加固功能
最新发布
2401_83947048的博客
04-30 737
加固分为两部分:安全加固、加固shell安全加固是通过防火墙,将目前已开放的端口(netstat命令查看)放通,其他端口默认拒绝,后续也可以通过工具来放通、拒绝IP/端口的访问。加固shell是用脚本来模拟一个shell,模拟shell可执行的命令受限,并且此脚本无法通过ctrl+c、ctrl+z等快捷键退出。这个功能在护网等场景会用到。加固shell开启后,只允许vshell这一个用户登陆,其他用户(包括root)无法登陆。加固shell开启后,无法使用ftp、telnet等功能了。
网安等保 | 主机安全之KylinOS银河麒麟服务器配置优化与安全加固基线文档脚本分享
WeiyiGeek 唯一极客IT知识分享
06-30 2497
描述: 随着国家要求各政府部门及事企业单位服务器系统国产化,越来越多的的企业单位逐步引进国产化Linux操作系统(大趋势),在众多国产操作系统中银河麒麟(KylinOS)、中科方德、统信UOS,此三家持续版本迭代超15年的其生态市场及占有率最高, 除此之外红旗Linux、共创Linux、凝思磐石、新支点、深度Linux、Start OS、思普操作系统、云针OS、鸿蒙OS、YunOS、OpenCloudOS等国产操作系统
AndroidStudio配置一键360加固gradle脚本
唐诺
05-12 1388
使用360加固保,在执行 assembleRelease 以后,立刻启动一个加固任务
Linux 系统检测和加固脚本
段帅星的博客
02-23 2019
获取脚本(建议使用前找测试机器验证后在线上环境使用) git clone https://github.com/duanshuaixing/Shell_Script.git 一、检查脚本 CentOS_Check_Script.sh 功能说明 此脚本是按三级等保要求,编写的一键检查脚本,此脚本只适合linux分支中的redhat、centos,运行脚本将结果输出到自定义的文件中,脚本结果需要人为检查。 此检查脚本包含以下几块内容: 系统基本信息 资源使用情况 系统用户情况 身份鉴别安全 访问控制安全
Linux系统一键安全加固shell脚本及使用说明.rar
01-28
Linux系统一键安全加固shell脚本及使用说明。已经在centos7上验证后的,欢迎大家下载。
2018年Linux系统安全检查、加固shell脚本
11-20
2018年最新Linux系统安全检查、系统加固shell脚本,可过三级等保脚本
linux服务器安全加固shell脚本代码
09-15
有时候安装完服务器以后,需要一些安全设置,这段脚本就是为了安全加固所写,需要的朋友可以参考下
一个Linux系统安全设置的Shell脚本的分享(适用CentOS)
09-15
主要介绍了一个设置Linux系统安全Shell脚本的分享,适用CentOS,包含大部份的安全设置,只需执行脚本就可以得到一个相对安全Linux系统了,需要的朋友可以参考下
App加固助手
11-29
加固保为移动应用提供专业安全的保护,可防止应用被逆向分析、反编译、二次打包,防止嵌入各类病毒、木马等恶意代码及低俗广告,从源头保护数据安全和开发者利益
linux加固shell脚本,linux服务器安全加固shell脚本
weixin_31077513的博客
04-30 350
#!/bin/sh # desc: setup linux system security # author:coralzd www.2cto.com # powered by www.freebsdsystem.org # version 0.1.2 written by 2011.05.03 #account setup passwd -l xfs passwd -l news passwd ...
linux 加固检测脚本,Linux系统检测和防护脚本
weixin_34304274的博客
04-30 651
1、方便将服务器安全情况通过检测脚本直接输出txt文件,同时便于检查出安全隐患。2、缩短安全检查和防护时间,提高安全检查和防护效率github地址 https://github.com/xiaoyunjie/Shell_Script.git一、Linux检测脚本1.1、文件压缩包包含2个文件:CentOS_Check_Script.sh : 脚本文件README.txt : 说明文件1.2、操作说...
一键系统安全加固脚本
IT运维技术圈
12-23 1449
断更几天,各位久等了!行吧!看标题应该知道今天咱们要干什么了。力争做到全网最干货公众号博主的波哥,就来跟大家聊聊这个安全加固。 有些新手可能对于linux系统安全加固还是比较陌生加哪里?怎么加?还比较模糊。其实系统安全加固概念由来已久,主要是对几个核心的文件以及用户权限,用户密码的策略及生命周期有强制要求,当然有些单位还有很多特殊的要求,比如必须开启内核防火墙。严格的出口入口规则管制等等。那么...
柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布
热门推荐
刘桂林的博客
05-30 1万+
柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要的结果,对于用户来说,就是一个噩耗,而安全性,一直是我们关注的焦点,今天,我们来聊聊这个安全性,和一起玩玩Apk加固! 一.我们为什么要提高APP的安全性 手机已经是不会离开身边了,APP更是重
360加固apk并自动签名
xiangzhihong8的专栏
12-23 6650
我们知道Android加混淆之后,代码的安全性得到了提高,即使你hook,反编译得到的也是乱码的,对于阅读性造成了影响,为了增强代码的破解难度,我们通常退对apk进行加固,常见的有腾讯,360,爱加密等。今天说说用360怎么一键加固apk。 加固保为移动应用提供专业安全的保护,可防止应用被逆向分析、反编译、 二次打包,防止嵌入各类病毒、广告等恶意代码,从源头保护数据安全和开发者 利益。 360
linux系统加固
GGGoodLuck的博客
01-12 932
linux系统加固
shell脚本编写一个LInux自动安全基线加固脚本
06-08
好的,下面是一个简单的Linux自动安全基线加固脚本,根据需求可以自行修改: ```shell #!/bin/bash # 修改密码策略,最小密码长度为8,密码复杂度要求为数字、大小写字母和特殊字符的组合 sed -i 's/PASS_MIN_LEN.*/PASS_MIN_LEN 8/' /etc/login.defs authconfig --passminlen=8 --passcomplexity=4 --update # 禁止root以外的用户使用su切换为root用户 echo "auth required pam_wheel.so use_uid" >> /etc/pam.d/su # 设置密码过期时间为90天 sed -i 's/PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/' /etc/login.defs sed -i 's/^#\(PASS_WARN_AGE\)/\1/' /etc/login.defs # 禁止空密码登录 sed -i 's/nullok_secure/nullok/' /etc/pam.d/system-auth # 禁用不必要的服务 systemctl disable avahi-daemon.service systemctl disable cups.service systemctl disable dhcpd.service systemctl disable slapd.service systemctl disable nfs.service systemctl disable rpcbind.service # 关闭不必要的端口 firewall-cmd --zone=public --remove-port=111/tcp --permanent firewall-cmd --zone=public --remove-port=2049/tcp --permanent firewall-cmd --zone=public --remove-port=5353/udp --permanent firewall-cmd --zone=public --remove-port=631/tcp --permanent # 安装基础安全工具 yum install -y wget curl net-tools nmap telnet tcpdump iptables echo "安全加固完成!" ``` 这个脚本包含以下安全加固措施: 1. 修改密码策略,最小密码长度为8,密码复杂度要求为数字、大小写字母和特殊字符的组合; 2. 禁止root以外的用户使用su切换为root用户; 3. 设置密码过期时间为90天; 4. 禁止空密码登录; 5. 禁用不必要的服务; 6. 关闭不必要的端口; 7. 安装基础安全工具。 注意:在运行脚本之前,请确保已经备份了系统的重要文件,并且仔细检查脚本中的每一条命令是否适用于当前的环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值