等保测评基线查看常用抓包命令:
#查看系统版本
lsb_release -a
uname -a
#显示用户
cat /etc/shadow
cat /etc/passwd
#查看密码策略
cat /etc/login.defs
#查看口令复杂度
cat /etc/pam.d/system-auth
#查看超时退出
cat /etc/profile | grep TMOUT
#查看剩余信息保护
cat /etc/profile | grep HISTSIZE
#查看SSH服务状态
service - status-all | grep sshd
#查看SSH配置
cat /etc/ssh/sshd_config
#查看23端口现在运行的情况
lsof -i:23
#查看运行服务状态
service --status-all | grep running
#查看umask值
umask
#查看当前SELinux的运行模式
getenforce
##Enforcing:强制模式。代表SELinux在运行中,且已经开始限制domain/type之间的验证关系
Permissive:宽容模式。代表SELinux在运行中,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告
Disabled:关闭模式。SELinux并没有实际运行
#查看审计进程
ps-ef|grep auditd
#查看审计服务状态
service auditd status
#查看日志服务状态
service rsyslog status
#查看审计规则
cat /etc/audit/audit.rules
#查看Linux日志简易报表
aureport
#查看系统补丁更新
rpm -qa | grep patch
rpm -qi 补丁名
#查看端口
netstat -ntlp
#查看终端登录限制
cat /etc/hosts.allow
cat /etc/hosts.deny
#查看防火墙规则
iptables -nvL
#查看前十条审计记录
head -10 /var/log/audit/audit.log
#查看重要目录的访问权限
ls -l /etc/passwd
ls -l /etc/audit
ls -l /etc/profile
等保测评Linux基线加固:
1、保护审计进程:
(1)auditd脚本:
#!/bin/bash
ser=$(service auditd status | grep -o running)
if [[ "$ser" != running ]];then
service auditd start
fi
(2)计划任务:
crontab -u root -e
*/1 * * * * su - root -c /etc/audit.sh
基线加固参考网址:
Unix主机加固:HP-Unix主机操作系统加固规范 - 百度文库
AIX主机加固:AIX主机操作系统加固规范V0.3 - 百度文库
windows主机加固:Windows主机操作系统加固规范V0.1 - 百度文库
windows安全配置指南:Windows安全配置指南 - 百度文库
Linux 主机加固:系统安全加固 - 百度文库
Linux主机加固:通用linux系统安全加固V1.0 - 百度文库