Linux基线检查

最新推荐文章于 2024-05-15 00:02:13 发布
最新推荐文章于 2024-05-15 00:02:13 发布
阅读量561 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45434762/article/details/105985708
版权


账户

检查是否有除root之外UID为0的用户

因为UID为0的用户都可以拥有最高的管理员权限,所以需要保证只允许root用户的UID为0

命令:

awk -F : '($3 == 0) {print $1}' /etc/passwd

如果返回值包含root以外的条目,则说明不符合安全要求

口令

用户口令设置

用户口令需要指定密码强度、过期时间,并不允许存在空口令、弱口令账户

命令:

cat /etc/login.defs

检查PASS_MAX_DAYS(密码最长使用期限)、PASS_MIN_DAYS(密码最短使用期限)、PASS_MIN_LEN(最短密码长度)、PASS_WARN_AGE(密码到期前提醒天数)
建议分别设置为90、0、8、7

空口令检查

命令:

awk -F : '($2 == "") {print $1}' /etc/shadow

口令强度

对采用静态口令的设备应采用强密码,并且密码长度至少为8位
配置文件:

/etc/pam.d/system-auth

对password requisite进行如下配置

password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=1

口令长度至少8位,包含1位大写字母,1位小写字母和1位数字

英文解释
difok最少不同字符
minlen最小长度
ucredit最少大写字母
lcredit最少小写字母
dcredit最少数字

用户锁定策略

对于静态口令认证设备,当认证连续失败超过规定次数应当锁定账户
配置文件:

/etc/pam.d/system-auth

对 auth required pam_tally.so进行配置

auth required pam_tally.so onerr=fail deny=10 unlock_time=300

设置连续认证失败超过10次,锁定账户300秒
如需解锁执行以下命令:

faillog -u 用户名 -r

登录超时设置

检测登录超时设置

配置文件:

/etc/profile

在文件中添加```TIMEOUT`=``的行注释,建议设置为TIMEOUT=180

Root账户限制远程登录

建议禁止root用户远程登录,使用普通账户远程登录后su进行操作管理系统

配置文件:

/etc/ssh/sshd_config

将PermitRootLogin 设置为no

认证授权

远程连接安全配置

检查是否存在.netrc和.rhosts文件,.netec文件会自动执行规定的命令,.rhosts意味着任意主机任意用户都可以不用口令登录到你的账户上来
检查方法:

find / -name .netrc
find / -name .rhosts

如有返回值,则低于安全要求,并将其删除

重要目录文件权限设置

对重要目录应设置只有Root可读可写可执行
查看目录文件权限:

ls -l /etc
ls -l /etc/rc.d/init.d/
ls -l /tmp
ls -l /etc/passwd
ls -l /etc/shadow
ls -l /etc/group
ls -l /etc/security
ls -l /etc/service

如果需要对重要目录文件进行权限设置,执行一下命令

chmof -R 750 /etc/rd.d/init.d/*

查找未授权的SIUD/SGID文件

SUID是可执行文件的特殊文件权限,使其他用户能够以文件所有者的有效权限运行文件。 代替执行权限的正常x代替用户的s (指示SUID )特权。
SGID是一种特殊的文件权限,也适用于可执行文件,并允许其他用户继承文件组所有者的有效GID 。 同样,而不是表示执行权限的通常的x ,您将看到组用户的s (指示SGID )特殊权限。

查找SUID设置文件

find . -perm /4000

查找SGID的文件

find . -perm /2000

设置方法:

chmod u+s 文件名
chmod g+s 文件名

关闭不必要的服务

开放的服务越多,也就意味着风险越大,所以尽可能关闭不需要的服务
查看/配置方法:

who -r 查看当前init等级
chkconfig --list <服务名>  查看所有服务的状态

日志

rsyslog.conf登录事件记录

命令:

more /etc/rsyslog.conf

查看authpriv值,如未对所有登录时间记录,则低于安全要求

rsyslog.conf的配置审核

检查是否进行以下设置:

kern.warning;*.err;authpriv.none\t@loghost
*.info;mail.none;suthpriv.none;cron.none\t@loghost
*.emerg\t@loghost
local7.*\t@loghost

建议配置专门的日志服务器,并做好日志的备份,如果以上为这支,则低于安全要求

系统状态

系统core dump状态

命令:

more /etc/security/limits.conf

检查一些项是否配置:

* soft core 0
* hard core 0

core dump中可能包含系统信息,容易被入侵者利用,建议关闭

福利来啦

公众号回复:“Linux巡检” 提取

加入我的星球

下方查看历史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之DC-3

VulnHub之DC-4

VulnHub之MuzzyBox

【工具分享】AWVS 12 汉化破解版

通达OA任意上传&文件包含漏洞复现

扫描二维码

获取更多精彩

NowSec

NowSec
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux基线检查脚本,基线核查脚本,基线核查
07-07
分享一个linux基线检查脚本,基线核查脚本。 解决人工做极限核查太麻烦,枯燥等问题。 提高工作效率,提高工作质量。 下面简单介绍一下基线基线扫描的内容。最后就是重磅大戏,自动化脚本,相信大家都喜欢用脚本...
Linux基线检查脚本
08-14
安全基线检查主要分为三大部分:操作系统、数据库和Web服务器,主要目的是检查基础的安全配置是否达到要求,避免配置上的疏漏而危害到系统的安全。
LINUX 设置最大描述符
02-23 934
按下面说的,可以用ulimit -n 32768设置最大描述符,不过只对当前会话有用,而且要root,这个不好办或者修改/etc/security/limits.conf,但要重启另外,没查到linux究竟最大描述符有没有限制,其他几个限制要不要改 http://www.nsfocus.net/index.php?act=magazine&do=view&mid=134如何限制和监视用户
Centos7 服务器基线检查处理汇总
跟着飞哥学编程(全栈联盟)
03-02 1322
服务器基线漏洞修复
Linux 安全基线检查与加固
最新发布
默默的博客
05-15 1381
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
蓝队--Linux基线安全检查
Martin-share的博客
01-31 2134
蓝队--Linux基线安全检查,认证,授权,审计,网络安全,
Linux服务器--基线检查
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
05-18 1万+
基线检查——安全基线配置核查(或检查)的简称,指为满足网络安全规范要求,服务器设备安全配置必需达到的最低安全标准,例如服务器上的账号、口令、日志、认证授权合规性配置等。
Linux基线检查
一纸荒芜的博客
06-29 1537
为保障服务器的安全性,通常需要对服务器做一些安全配置,现介绍一下Linux部分的安全配置,以下命令适用于Centos。
Linux基线检查.xlsx
06-17
Linux基线检查.xlsx
linux基线检查脚本.rar
04-08
Linux基线检查脚本是运维工作中非常重要的工具,它用于系统级别的安全性、稳定性和性能评估。这个RAR压缩包中包含的脚本可能是基于bash或者其他解释器编写的,目的是按照特定的Linux配置基线进行自动化检查基线...
Linux基线检查.zip
11-17
"Linux基线检查"通常指的是对Linux系统的安全性和配置合规性进行的一系列审计和验证工作,以确保系统符合最佳实践和安全标准。这个压缩包文件包含两个文件:`Linux.sh`和`README.txt`,我们可以从中学习到关于Linux...
Linux安全基线加固之安全审计
super_m@n的博客
04-19 1054
1.syslog登陆事件记录 more /etc/rsyslog.conf 查看authpriv值是否为authpriv.* /var/log/secure 如果没有对所有登陆事件记录,则小于安全要求 2.Syslog.conf的配置审核 more /etc/rsyslog.conf 查看有没有类似下面的设置,如果没有低于安全要求 kern.warning;*.err;auth...
linux普通用户有内存限制吗,Linux系统限制普通用户内存使用(ulimit)和硬盘配额空间(quota)...
weixin_35679132的博客
04-30 947
Linux系统限制普通用户内存使用(ulimit)和硬盘配额空间(quota)限制普通用户内存第1步,首先进到Linux终端用vi编辑/etc/security/limits.conf :# max memory locked : means the size of the memory which cannot be changed to swap#@users hard ...
linux基线检查
虫虫的博客
07-05 1129
#!/bin/bash #version v1.0 by pensar #操作系统linux 配置规范--centos7 mkdir /tmp/check str1=`/sbin/ifconfig -a | grep inet | grep -v 127.0.0.1 | grep -v inet6 | awk '{print $2}' | tr -d "addr:" | head -n 1` str=`date +%Y%m%d%H%M` echo "----**日志审计配置**----" >&gt.
Shell脚本案例---修改配置文件
oldboy1999的博客
12-12 2108
Shell脚本案例---修改配置文件
linux下syslog使用说明
m0_68431045的博客
12-15 2512
几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。程序,守护进程和内核提供了访问系统的日志信息。另外,作为syslog的替代程序的新一代工具是syslog-ng,syslog-ng具有很强的网络功能,可以方便地把多台机器上的日志保存到一台中心日志服务器上。
linux 基线加固/等保整改
weixin_53801131的博客
04-28 1422
通过上面这些限制,就能更好地控制系统中的用户对进程、core文件和内存的使用情况。unlock_time=300 even_deny_root(不加这句root不会锁) root_unlock_time=60。目的:在设备权限配置能力内,根据用户的企业需求,配置其所需的最小权限,以减少被非法访问的可能性。目的:修改创建文件或目录时的默认权限,防止属于该组的其他用户级别组的用户修改该用户的文件。目的:删除系统不需要的默认账号、更改危险账号的默认shell变量,降低被利用的可能性。
内核优化
jingzhiz 专属移动笔记
09-24 478
1、Core文件简介 Core文件其实就是内存的映像,当程序崩溃时,存储内存的相应信息,主用用于对程序进行调试。当程序崩溃时便会产生core文件,其实准确的应该说是core dump 文件,默认生成位置与可执行程序位于同一目录下,文件名为core.***,其中***是某一数字。 2、什么是Core Dump: 我们在开发(或使用)一个程序时,最怕的就是程序莫明其妙地当掉。虽然系统没事,但我们...
linux基线检查脚本
06-28
Linux基线检查脚本是一种用于检查Linux系统安全性的工具。它可以检查系统的各种配置和设置,包括用户权限、文件权限、服务配置、网络设置等,以确保系统的安全性和稳定性。该脚本可以自动化执行,减少了手动检查的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值