CentOS6、7 安全基线检查脚本

最新推荐文章于 2024-05-16 08:23:06 发布
最新推荐文章于 2024-05-16 08:23:06 发布
阅读量958 收藏 8
点赞数 2
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42743215/article/details/115999555
版权 
#!/bin/bash

#变量
Server=`cat /etc/redhat-release`
Server_vsersion=`cat /etc/redhat-release|sed -r 's/.* ([0-9]+)\..*/\1/'`
Server_Name=`hostname`
sixIP=`ifconfig  |egrep "inet addr" |grep Bcast |awk  '{print $2}' |awk -F: '{print $2}'`
sevenIP=`ifconfig |grep inet |grep broadcast |awk '{print $2}'`
Date=`date`
Super_account=`awk -F: '($3 == 0) { print $1 }' /etc/passwd`
Null_pass=`awk -F: '($2 == "") { print $1 }' /etc/shadow`
Pass_Max_Day=`cat /etc/login.defs  |grep PASS_MAX_DAYS |grep -e  [0-9].* |awk '{print $2}'`
Pass_Min_Day=`cat /etc/login.defs | grep PASS_MIN_DAYS |grep -e  [0-9].* |awk '{print $2}'`
Pass_Min_Len=`cat /etc/login.defs | grep PASS_MIN_LEN |grep -e [0-9].* |awk '{print $2}'`
Pass_Warn_Age=`cat /etc/login.defs | grep PASS_WARN_AGE  |grep -e [0-9].* |awk '{print $2}'`
Root_Path=`echo $PATH | sed 's|:|\n|g' | egrep "^\.$"`
Etc_Password=`ls -l  /etc/passwd |awk '{print $1}'`
Etc_Shadow=`ls -l /etc/shadow |awk '{print $1}'`
Etc_Group=`ls -l /etc/group |awk '{print $1}'`
Etc_Services=`ls -l /etc/services |awk '{print $1}'`
Etc=`ls -ld /etc/ |awk '{print $1}'`
Etc_Security=`ls -ld /etc/security |awk '{print $1}'`
Etc_Rcd=`ls -ld /etc/rc.d |awk '{print $1}'`
Etc_rsyslog_1=`cat /etc/rsyslog.conf | grep authpriv.*  |grep /var/log/secure |awk '{print $1}' `
Etc_rsyslog_2=`cat /etc/rsyslog.conf | grep authpriv.*  |grep /var/log/secure |awk '{print $2}' `
Remote_root_login=`cat /etc/ssh/sshd_config | grep PermitRootLogin | head -n 1 |grep PermitRootLogin |awk '{print $2}'`

#进度条
num=''
for ((i=0;$i<=100;i+=2))
do
    printf "正在检测:[%-50s]%d%%\r" $num $i
    sleep 0.1

    num=#$num
done
echo
#系统信息
echo "-----------------------------------------------------------------"
echo "系统:$Server"
if [[ $Server_vsersion = 6 ]];then
  echo "主机名:$Server_Name              IP:$sixIP "
elif [[ $Server_vsersion = 7 ]];then
  echo "主机名:$Server_Name              IP:$sevenIP "
else
  echo "非版本6或7"
fi
echo "时间:$Date"
echo "-----------------------------------------------------------------"

# 1. 账户管理
# 1.1 超级账户管理
#要求:保证系统中只有唯一的超级账户 root,卲只有 root 账户的 UID 为 0


if [ "$Super_account"  == root ] ;then
  echo "1. 仅有一个root用户,符合要求"
#UID 为 0 的账户卲系统超级管理员账户,拥有系统所有权限,默认情况下只有 root账户的 UID 为 0
else
  echo -e  "\033[31m1. 不仅有一个root用户,不符合要求\033[0m"
fi


# 1.2 空口令账户管理
if [ -z $Null_pass ] ;then
  echo "2. 系统中不存在空口令账户"
else
  echo -e "\033[31m2. 系统中存在空口令账户 $Null_pass\033[0m"
fi


# 2. 口令管理
# 2.1 口令最长使用期限
if (( $Pass_Max_Day > 90 )) ;then
  echo -e  "\033[31m3. 口令最长使用期限不符合要求,口令最长使用时间为: $Pass_Max_Day 天\033[0m"
else
  echo "3. 口令最长使用期限符合要求"
fi


# 2.2 口令更改最小间隔
if (( $Pass_Min_Day == 0  )) ;then
  echo -e "\033[31m4. 设置口令更改最小间隔天数不符合基线要求,建议改为1天\033[0m"
else
  echo "4. 设置口令更改最小间隔天数: $Pass_Min_Day 天"
fi


# 2.3 口令最小长度
if (( $Pass_Min_Len < 8)) ;then
  echo -e "\033[31m5. 口令最小长度不符合基线要求,口令最小长度为:$Pass_Min_Len ,建议大于8\033[0m"
else
  echo "5. 口令最小长度符合基线要求"
fi


# 2.4 口令过期前警告天数


if (( $Pass_Warn_Age < 14 )) ;then
  echo -e "\033[31m6. 口令过期前警告天数不符合基线要求,现警告天数为:$Pass_Warn_Age ,建议大于14\033[0m"
else
  echo "6. 口令过期前警告天数符合基线要求"
fi
# 3. 认证授权
# 3.1 root 账户环境变量管理


if [ "$Root_Path" != '.'  ];then
  echo "7. root 账户环境变量管理符合安全要求"
  #root 账户环境变量路径中丌应该包含”.”
else
  echo -e "\033[31m7. root 账户环境变量管理不符合安全要求\033[0m"
fi


# 3.2 重要文件权限设置
# /etc/passwd 的权限为-rw-r--r--,卲 644
# /etc/shadow 的权限为----------,卲 000
# /etc/group 的权限为-rw-r--r--,卲 644
# /etc/services 的权限为-rw-r--r--,卲 644


if [ "$Etc_Password" == "-rw-r--r--" ];then
  echo "8. /etc/passwd符合要求 644"
else
  echo -e "\033[31m8. /etc/passwd不符合要求 644\033[0m"
fi


if [ "$Etc_Shadow" == "----------" ];then
  echo "9. /etc/shadow 符合要求 000"
else
  echo -e "\033[31m9. /etc/shadow 不符合要求 000\033[0m"
fi


if [ "$Etc_Group" == "-rw-r--r--" ];then
  echo "10. /etc/group符合要求 644"
else
  echo -e "\033[31m10. /etc/group不符合要求 644\033[0m"
fi
if [ "$Etc_Services" == "-rw-r--r--." ];then
  echo "11. /etc/services符合要求 644"
else
  echo -e "\033[31m11. /etc/services不符合要求 644\033[0m"
fi




# 3.3 重要文件夹权限设置
# /etc 的权限为 drwxr-xr-x,卲 755
# /etc/security 的权限为 drwxr-xr-x,卲 755
# /etc/rc.d 的权限为 drwxr-xr-x,卲 755


if [ "$Etc" == "drwxr-xr-x." ];then
  echo "12. /etc符合要求 755"
else
  echo -e  "\033[31m12. /etc不符合要求 755\033[0m"
fi


if [ "$Etc_Security" == "drwxr-xr-x." ];then
  echo "13. /etc/security符合要求 755"
else
  echo -e "\033[31m13. /etc/security不符合要求 755\033[0m"
fi


if [ "$Etc_Rcd" == "drwxr-xr-x." ];then
  echo "14. /etc/rc.d符合要求 755"
else
  echo -e "\033[31m14. /etc/rc.d不符合要求 755\033[0m"
fi


# umask
# 4.日志审计
# syslog 日志审计
if [ "$Etc_rsyslog_1" == 'authpriv.*'  -a  "$Etc_rsyslog_2" == "/var/log/secure" ];then
  echo "15. syslog 日志审计符合要求 authpriv.*   /var/log/secure"
else
  echo -e "\033[31m15. syslog 日志审计不符合要求\033[0m"
fi


# 5.远程管理
#远程地址管理通过iptables控制,不做检测
if [ "$Remote_root_login"  == no  ];then
  echo "16. 已经限制 root 通过 SSH 远程登录"
elif [ "$Remote_root_login"  == yes  ];then
  echo -e "\033[31m16. root 可以用过 SSH 远程登录,不符合要求\033[0m"
else
  echo "16. 配置有误"
fi


echo "-----------------------------------------------------------------"

#SNMP未启用不做检测
#服务管理需自行检测
#Centos6命令为:chkconfig --list
#Centos7命令为:systemctl list-unit-files
#如需检测自行使用命令对比
#无关账户管理命令:cut -d: -f1 /etc/passwd   将此账户列表不检测结果对比,查看是否存在不工作无兲的账户,如果存在此类账户,表明丌符合安全要求。
逝月流
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
适用于系统版本:CentOS 6/7/8的基线安全检测脚本
xianjie0318的博客
03-14 753
【代码】适用于系统版本:CentOS 6/7/8的基线安全检测脚本
Centos7系统巡检.sh
08-19
Centos7系统一件巡检脚本,快速高效获取服务器状态,服务运行状态,密码过期检查等等
CentOS基线脚本,三级等保服务器系统安全配置脚本_centos 日志 等保三(1)
最新发布
2401_84263434的博客
05-16 373
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~因篇幅有限,仅展示部分资料。还有大家最喜欢的黑客技术。
shell基础(三)
mengjialiang2002的博客
08-21 966
^(d{1,2}|1dd|2[0-4]d|25[0-5]).(d{1,2}|1dd|2[0-4]d|25[0-5]).(d{1,2}|1dd|2[0-4]d|25[0-5]).(d{1,2}|1dd|2[0-4]d|25[0-5])$” //IP地址。/^(d{2}|d{4})-((0([1-9]{1}))|(1[1|2]))-(([0-2]([1-9]{1}))|(3[0|1]))$/ // 年-月-日 yyyy-MM-dd / yy-MM-dd 格式。
Linux操作系统的安全合规性检查和加固
m0_68431045的博客
12-16 623
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。表示将此用户的密码最长使用天数设为30,最短使用天数设为0,密码2000年1月1日过期,过期前七天警告用户。, 即新创建的文件属主拥有读写执行权限,同组用户拥有读和执行权限,其他用户无权限。
Linux服务器的简单安全配置
人生不过是一场旅行,你路过我,我路过你,各自向前,各自修行。
03-20 499
一、 禁用root以外的超级用户 1.检测方法: cat /etc/passwd 查看口令文件,文件格式如下 login_name:password:user_ID:group_ID:comment:home_dir:command 若user_ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0 2.检测命令: cat /etc/passwd | awk...
CentOS7配置环境脚本
LEBRON_LAKERS的博客
02-08 315
【代码】CentOS7配置环境脚本
CentOS7或RHEL7的安全基线检查脚本
05-13
分为以下几个模块 access_authentication system_maintenance services network_configuration logging_and_auditing 亲测可用
shell实现对Windows服务器的安全基线检查
10-28
本程序通过shell实现对windows server 2008/2012的安全基线检查,与结果报告生成(包括htm格式),大大提高对windows系统安全基线检查工作的效率。程序运行环境centos6.6
linux基线安全一键检查与修复
04-20
脚本使用shell语言编写,根据linux基线安全标准,对centos 7 操作系统进行扫描与修复。优点如下: (1)可视化操作 (2)一键扫描/修复 (3)脚本收纳了14项安全标准,并支持扩展 (4)脚本中涉及到数组、函数的...
18项基线加固脚本
09-01
对LINUX下的18项基线安全加固
Centos7——企业级日常巡检脚本的编写》
weixin_45842014的博客
09-11 1035
#!/bin/bash os_sys(){ ##系统信息 os_type=$(uname) echo "操作系统的类型:${os_type}" os_version=$(cat /etc/redhat-release) echo "#操作系统的版本号:${os_version}" os_ker=(uname -r) echo "#操作系统的内核版本:${os_ker}" os_ti
CentOS系统主机每日巡检脚本
wxqndm的博客
10-26 1869
1、由于运维工程师的工作需要,要求每日对服务器进行线上巡检,巡检的指标有系统状态信息、CPU、内存、硬盘、网络这几个大项,2、该脚本适用于CentOS6.X CentOS7.X系统,打开终端连接到需要巡检的主机。这个巡检脚本需要保证SSH服务正常访问,并且需要登录root用户,进行脚本运行。所以编写了一个shell脚本,用于主机每日巡检。4、代码太长,并没有截全部,只截取一部分示例。然后重新运行巡检脚本,输出巡检日志。出现这个提示,只需要安装一下就行。3、按i键,然后粘贴上述代码。
Centos 服务器日常巡检脚本
lee_yanyi的博客
06-21 1191
linux服务器日常巡检
Centos7 系统硬件检测脚本
qq_37126850的博客
07-12 1306
#Centos7 系统硬件检测 #####查看系统版本###### hostname=`hostname` sys_version=` cat /etc/redhat-release ` kernel=`hostnamectl | grep 'Kernel' | awk -F: '{print $2}'` architecture=` hostnamectl | grep 'Arch' | awk -F: '{print $2}'` echo "主机名:$hostname" echo "系统版本:$sy
shell脚本实现巡检(centos7)
rongkai111的博客
07-17 948
这里我们用函数实现的个个功能 #系统信息 os_system(){ os_type=`uname` echo "当前系统是:$os_type" os_banben=`cat /etc/redhat-release` echo "当前系统版本是:$os_banben" os_neihe=`uname -r` echo "当前系统内核为:$os_neihe" os_time=`date +%F_%T` echo "当前系统实际为:$os_time" os_last=`uptime |awk '{print $
centos7基本安全配置
发量堪忧
04-23 2808
1.禁止root直接登陆,采取sudo授权账号权限 在禁止root登入前,需要创建一个普通用户 [root@123 ~]# users #查看当前用户列表 123 root [root@123 ~]# useradd 888 #创建888的普通用户 [root@123 ~]# passwd 888 #为888用户创建密码(修改密码) 更改用户 888 的密码 。 新的 密码: 无效的密码: 密码少于 8 个字符 #因为我就设置了123456所以出这
简单的echo server
三岔路口,每一条路都有自己的精彩......
10-10 1012
socket编程的好例子!echo sever 与 echo client。echo server 接受连接并把收到的数据原样发回。echo client  发起连接到服务器,发送数据包并且接受对方返回的数据。echo server:import socketHOST = 127.0.0.1 PORT = 10007s = socket.socket(socket.AF_INET, socke
Linux安全基线检查--centos7
qq_27546717的博客
03-09 584
linux基线检查
centos7基线核查脚本
03-15
CentOS 7基线核查脚本是一种于检查CentOS 7操作系统是否符合安全基线要求的工具。它可以帮助管理员评估系统的安全性,并提供必要的修复建议。以下是CentOS 7基线核查脚本的一般步骤: 1. 系统信息收集:脚本会收集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值