安全检查
扫描工具:YARA可疑文件扫描工具进行扫描
YARA可疑文件扫描工具
1、YARA工具是一款开源的用C/C++开发的跨平台的恶意软件识别工具。信息安全部对其进行二次开发,并维护其规则库,用于替代D盾和可疑文件扫描工具,解决原本的缺陷,提高病毒查杀效率,降低操作成本。支持windows和linux系统。已取代D盾和可疑文件扫描工具。
2、本工具只用于扫描应用系统部署包目录和应用系统备份目录,对非应用系统目录及非应用服务器无需进行扫描。
Ø Windows服务器部署Dnet系统、JAVA系统,建议选择应用部署包目录进行扫描。
Ø Linux服务器使用容器部署的,需要先进入到容器中,再选择应用部署包执行扫描。
Ø Linux服务器非容器部署的,则直接选择应用部署包执行扫描。
windows服务器巡检
1.操作系统及其安全-
- 磁盘空间是否足够
- 磁盘空间截图
- 评标系统数据是否转移到历史库中(若无则无需)
- 系统日志大小、是否有报错情况;IIS日志是否过大;系统日志是否迁移到D盘/E盘等分区上
- 系统日志是否更新到两个月前最新补丁
- 系统时间是否正常
- 是否存在可疑服务或者进程
- 是否存在可疑账号
- 杀毒软件是否安装且病毒科是否最新
2.数据库
- 数据库文件自增长类型检查(SQL server)
- DB日志文件是否过大,是否需要清理
- Oracle数据表空间使用情况
- 附件库增长是否过大,是否需要新增附件库
- tomcat日志文件备份
- tomcat禁止开启debug模式
- 服务器账号策略是否设置
- 服务器是否更新永久之蓝补丁
- 服务器远程桌面是否限制指定IP访问
- 系统性能(截图)
- 系统日志(截图)
- 系统用户(截图)
- 系统评标历史库大小(截图)
- 文件共享
linux服务器巡检
1.操作系统及安全
- 磁盘容量是否足够
查看分区的磁盘空间:df –lh
- linux防火墙是否开启并设置规则
查看防火墙状态:service iptables status ;systemctl status firewalld.service (redhat7.0和CentOS7.0之后续版本)
规则设置:vi /etc/sysconfig/iptables
- 操作系统的时间是否正确
查看当前时间:Date
调整时间用命令: date -s ″12:12:23 2016-08-10″
2.数据库
- 附件库是否增长过大
- Tomcat日志文件备份
- Tomcat禁止开启Debug模式
检查Tomcat的wrapper.conf文件,确认有无开启Debug模式,
- Oracle数据库表空间使用情况(截图)
- 安全基线检查点
- 系统性能(截图)
top查看后截图,退出top命令按“ctrl c”。
- 系统用户(截图)
more /etc/passwd 查看后截图
- 磁盘空间(截图)
df –lh查看后截图
- 可疑文件扫描
- 文件共享