基线加固自动化

已于 2023-06-19 10:43:04 修改
阅读量74 收藏
点赞数
文章标签: 自动化 运维
于 2023-06-15 10:42:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/viki1998/article/details/131223003
版权
该脚本主要用于Linux系统的安全配置,包括禁止IP重定向,启动NTP服务,修改host.conf以防止IP欺骗,限制历史记录大小,配置syslog-ng和rsyslog以记录特定错误信息,修改目录和文件权限,加强密码策略,并启用不可变属性以防止未授权修改关键文件。
摘要由CSDN通过智能技术生成

仅作为等级保护基础,在满足一定条件下使用

不建议生产环境下直接运行,建议克隆生产机器进行配置

相关运行等问题自行处理,syslog等非百分百合适,结合审计服务器和设备执行

#!/bin/bash

# 创建备份文件函数
backup_file() {
    local file="$1"
    local backup_file="${file}.bak"

    # 备份文件
    cp "$file" "$backup_file"
    chmod 400 "$backup_file"
    chattr +i "$backup_file"
}

# 1. 配置 /proc/sys/net/ipv4/conf/all/accept_redirects 的值为0
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# 2. 配置 /proc/sys/net/ipv4/conf/all/send_redirects 的值为0
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# 3. 运行 systemctl start ntpd
systemctl start ntpd

# 4. 更改 /etc/host.conf 内容为 multi off 和 nospoof on
echo "multi off" > /etc/host.conf
echo "nospoof on" >> /etc/host.conf

# 5. 编辑文件 /etc/profile,配置 HISTFILESIZE=5
echo "HISTFILESIZE=5" >> /etc/profile

# 6. 编辑 /etc/syslog-ng/syslog-ng.conf
syslog_ng_conf="/etc/syslog-ng/syslog-ng.conf"
if [ -f "$syslog_ng_conf" ]; then
    # 备份并修改权限
    backup_file "$syslog_ng_conf"

    # 添加配置
    echo 'filter f_msgs { level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); };' >> "$syslog_ng_conf"
    echo 'destination msgs { file("/var/adm/msgs"); };' >> "$syslog_ng_conf"
    echo 'log { source(src); filter(f_msgs); destination(msgs); };' >> "$syslog_ng_conf"
else
    # 创建文件并修改权限
    touch /var/adm/msgs
    chmod 666 /var/adm/msgs

    # 添加配置
    echo 'filter f_msgs { level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); };' > "$syslog_ng_conf"
    echo 'destination msgs { file("/var/adm/msgs"); };' >> "$syslog_ng_conf"
    echo 'log { source(src); filter(f_msgs); destination(msgs); };' >> "$syslog_ng_conf"
fi

# 重启日志服务
service syslog restart

# 7. 编辑 /etc/rsyslog.conf
rsyslog_conf="/etc/rsyslog.conf"
if [ -f "$rsyslog_conf" ]; then
    # 备份并修改权限
    backup_file "$rsyslog_conf"

    # 添加配置
    echo '*.err;kern.debug;daemon.notice                          /var/adm/messages' >> "$rsyslog_conf"
else
    # 创建文件并修改权限
    touch /var/adm/messages
    chmod 666 /var/adm/messages

    # 添加配置
    echo '*.err;kern.debug;daemon.notice                          /var/adm/messages' > "$rsyslog_conf"
fi

# 重启日志服务
service rsyslog restart

# 8. 编辑 /etc/syslog.conf
syslog_conf="/etc/syslog.conf"
if [ -f "$syslog_conf" ]; then
    # 备份并修改权限
    backup_file "$syslog_conf"

    # 添加配置
    echo '*.err;kern.debug;daemon.notice                          /var/adm/messages' >> "$syslog_conf"
else
    # 创建文件并修改权限
    touch /var/adm/messages
    chmod 666 /var/adm/messages

    # 添加配置
    echo '*.err;kern.debug;daemon.notice                          /var/adm/messages' > "$syslog_conf"
fi

# 重启日志服务
service syslog restart

# 9. 修改权限 /etc/rc.d/init.d/
chmod 750 /etc/rc.d/init.d/

# 10. 修改权限 /tmp
chmod 750 /tmp

# 11. 修改权限 /etc/rc5.d/
chmod 750 /etc/rc5.d/

# 12. 修改权限 /etc/rc4.d/
chmod 750 /etc/rc4.d/

# 13. 修改权限 /etc/security
chmod 600 /etc/security

# 14. 修改权限 /etc/grub2.cfg
chmod 600 /etc/grub2.cfg

# 15. 修改权限 /boot/grub2/grub.cfg
chmod 600 /boot/grub2/grub.cfg

# 16. 修改权限 /etc/rc0.d/
chmod 750 /etc/rc0.d/

# 17. 修改权限 /etc/rc6.d
chmod 750 /etc/rc6.d

# 18. 修改权限 /etc/rc1.d/
chmod 750 /etc/rc1.d/

# 19. 修改权限 /etc/rc2.d/
chmod 750 /etc/rc2.d/

# 20. 修改权限 /etc/rc3.d
chmod 750 /etc/rc3.d

# 21. 修改 /etc/csh.cshrc 中的 umask 为 077
sed -i 's/^umask .*$/umask 077/' /etc/csh.cshrc

# 22. 修改 /etc/bashrc 中的 umask 022 为 077
sed -i 's/^umask .*$/umask 077/' /etc/bashrc

# 23. 修改 /etc/csh.login 中的 umask 为 077
sed -i 's/^umask .*$/umask 077/' /etc/csh.login

# 24. 修改 /etc/profile 中的 umask 为 077
sed -i 's/^umask .*$/umask 077/' /etc/profile

# 25. 执行 chattr +i /etc/gshadow
chattr +i /etc/gshadow

# 26. 执行 chattr +i /etc/passwd
chattr +i /etc/passwd

# 27. 执行 chattr +i /etc/group
chattr +i /etc/group

# 28. 执行 chattr +i /etc/shadow
chattr +i /etc/shadow

# 29. 编辑 /etc/syslog.conf 文件
syslog_conf="/etc/syslog.conf"
if [ -f "$syslog_conf" ]; then
    # 备份并修改权限
    backup_file "$syslog_conf"

    # 添加配置
    echo 'cron.*       /var/log/cron' >> "$syslog_conf"
else
    # 创建文件并修改权限
    touch /var/log/cron
    chmod 775 /var/log/cron

    # 添加配置
    echo 'cron.*       /var/log/cron' > "$syslog_conf"
fi

# 30. 编辑 /etc/aliases 文件
aliases_file="/etc/aliases"
if [ -f "$aliases_file" ]; then
    # 备份并修改权限
    backup_file "$aliases_file"

    # 注释掉不需要的行
    sed -i '/^#games:/ s/^/#/' "$aliases_file"
    sed -i '/^#ingres:/ s/^/#/' "$aliases_file"
    sed -i '/^#system:/ s/^/#/' "$aliases_file"
    sed -i '/^#toor:/ s/^/#/' "$aliases_file"
    sed -i '/^#uucp:/ s/^/#/' "$aliases_file"
    sed -i '/^#manager:/ s/^/#/' "$aliases_file"
    sed -i '/^#dumper:/ s/^/#/' "$aliases_file"
    sed -i '/^#operator:/ s/^/#/' "$aliases_file"
    sed -i '/^#decode:/ s/^/#/' "$aliases_file"
    sed -i '/^#root:/ s/^/#/' "$aliases_file"
else
    echo "Aliases file not found: $aliases_file"
fi

# 更新别名
newaliases

# 33. 修改 /etc/profile 中的 TMOUT 和 umask
sed -i 's/^TMOUT=.*/TMOUT=600/' /etc/profile
sed -i 's/^umask .*$/umask 077/' /etc/profile

# 34. 在 /etc/pam.d/system-auth 中设置口令最小长度
system_auth="/etc/pam.d/system-auth"
if [ -f "$system_auth" ]; then
    # 备份并修改权限
    backup_file "$system_auth"

    # 添加配置
    sed -i '/^password    required      pam_cracklib.so/ s/$/ minlen=6/' "$system_auth"
else
    echo "System auth file not found: $system_auth"
fi

# 35. 修改 /etc/login.defs 中的 PASS_MIN_DAYS
sed -i 's/^PASS_MIN_DAYS .*$/PASS_MIN_DAYS 6/' /etc/login.defs

# 36. 修改 /etc/login.defs 中的 PASS_WARN_AGE
sed -i 's/^PASS_WARN_AGE .*$/PASS_WARN_AGE 30/' /etc/login.defs
 

v1ch0senkl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
windows基线加固
Yanug
09-14 5012
1.账号管理与授权 1.1删除或锁定可能无用的账户 描述 删除或锁定无用的账户,定期清理无用账户,防国企用户非法登录 检查方法 进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组” 审核不必要的用户和组,审核账户隶属的组权限,审核组用户 操作步骤 根据系统的要求和实际业务情况,设定不通过账户和账户组,如管理员用户、数据库用户、来宾用户等。 1.2删除或锁...
基线检查加固脚本
huang714的专栏
08-26 947
Linux的shell加固脚本 #!/bin/bash #设置密码复杂度 if [ -z "`cat /etc/pam.d/system-auth | grep -v "^#" | grep "pam_cracklib.so"`" ];then sed -i '/password required pam_deny.so/a\password required pam_cracklib.so try_first_pass minlen=8 ucredit=-1
漏洞扫描--配置核查
冰恋云的专栏
10-25 6029
漏洞描述 -----解决加固: linux centos系统 1.修改 /etc/pam.d/system-auth 文件 vi /etc/pam.d/system-auth 追加 password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 minlen=6 注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 ...
基线加固
Love_Naive的博客
08-31 2827
基线加固基线加固概念基线加固常用脚本 基线加固概念 基线: 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。 基线扫描: 使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档 安全加固s
自动化脚本】适用于Windows Server 2012的服务器安全加固脚本
10-08
适用于Windows Server 2012的安全加固脚本。1.关闭不要的服务;2.阻止危险端口;3.必备的安全策略(密码、审核等),可以添加其他功能。
Windows安全基线核查加固助手.zip
02-06
核查加固助手则通过自动化的方式来检查和实施这些基线,减少手动操作的错误和繁琐。 该压缩包中的“说明.txt”文件很可能是对工具的使用指南,详细阐述了如何运行、配置和解读工具的输出结果。而...
自动化脚本】Windows操作系统安全加固
10-11
本脚本为本人根据单位任务和个人兴趣编写,具有较好的交互操作,点击后不会直接执行操作,需要用户确认后才会执行,运行前会对注册表和组策略等信息进行备份,现上传分享给大家,如需对Windows操作系统安全进行加固,...
基线安全与linux基线加固方法
热门推荐
pygain的博客
08-31 1万+
1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。 2.基线扫描 使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告的形式体现出扫描结果
告别手动录入,自动化PDF转Excel工具精选
fxybg2022的博客
08-23 702
PDF文件可以跨平台高兼容,这就使得在很多需要保存页面版式的文件我们都用PDF格式进行传输。很多时候Excel文件也被这样转发,可是编辑却成为了问题,这时候要是能有pdf转换成excel的工具就能事半功倍了。
PowerShell脚本编写:自动化Windows开发工作流程
vvvae1234的博客
08-27 671
PowerShell是由Microsoft开发的一种基于任务的命令行壳体和脚本语言,用于系统管理和自动化。它基于.NETFramework,并提供了与Windows操作系统和应用程序进行交互的强大功能。PowerShell允许用户使用命令(称为cmdlet)执行多种任务,从文件管理到系统配置和监控。
利用API返回值实现商品信息的自动化更新
sa10027的博客
08-23 997
利用API返回值实现商品信息的自动化更新是一个涉及到数据交互、数据处理和自动化脚本编写的任务。
自动化】考试答题自动化完成答案,如何实现100%正确呢
lfsysc的博客
08-23 1146
我的答案是可以的,电脑程序可以模拟人的操作完成所有的答题并提交结束考试。
解决yum不能正常使用,报错: No module named yum,如何安装python2和python3并行版本,搭建自动化环境
weixin_45754647的博客
08-27 55
嗨,我是兰若姐姐,今天在用yum安装python的时候,发现yum整个都不能使用了,但是之前都是好好的,yum相关的命令都是可以正常使用,所以可以判断的是,yum是在我之后的操作过程中被搞坏了,为了恢复yum只能一步步的排查,现在执行yum直接报错就是: No module named yum于是我做了这个动作再次执行yum相关命令,然后就变成这样了接下来查看yum的安装路径由于yum依赖python环境,所以大胆猜测是python出了问题,这里重新下载python。
自动化01:认识接线端子
zhangjinajian759的博客
08-27 93
1、TB接线端子:2.SAK组合接线端子:3.UK组合接线端子:4.插拔式接线端子:5.零线接线桩:6.零线接线排。
应用案例|亚克力板CNC加工自动化上下料
最新发布
uwei0512的博客
08-27 213
在现代化制造领域,自动化和智能化已成为提升生产效率、降低成本的关键。针对当前CNC加工过程中亚克力板上下料环节的人工操作问题,富唯智能提出了基于AMR(自主移动机器人)的复合机器人解决方案。传统的人工取料、放置以及加工完成后的人工下料、重新上料流程,不仅效率低下,而且存在人为误差和安全隐患。
【学术会议征稿】第五届机械工程、智能制造与自动化技术国际学术会议(MEMAT 2024)
XIAOAIXUEJIE的博客
08-27 423
会议将围绕“机械工程”、“智能制造与自动化技术”等相关最新研究领域,为来自国内外高等院校、科学研究所、企事业单位的专家、教授、学者、工程师等提供一个分享专业经验,扩大专业网络,面对面交流新思想以及展示研究成果的国际平台,探讨本领域发展所面临的关键性挑战问题和研究方向,以期推动该领域理论、技术在高校和企业的发展和应用,也为参会者建立业务或研究上的联系以及寻找未来事业上的全球合作伙伴。- 数字化制造(计算机辅助设计/制造、计算机辅助工艺过程规划、制造执行系统、离散事件仿真等)- 微电子封装技术与设备。
自动化编译项目:使用 Bash 脚本与 CMake
极地星辰
08-24 296
在软件开发过程中,编译是不可或缺的一环。随着项目规模的增大,手动编译变得越来越繁琐且容易出错。我们可以使用自动化工具如 CMake 和 Bash 脚本来简化这一过程。
自动化立体仓库设施及设备:汇总总结
nickelwang的博客
08-22 427
导语大家好,我是社长,老K。专注分享智能制造和智能仓储物流等内容。完整版文件和更多学习资料,请球友到知识星球【智能仓储物流技术研习社】自行下载。这份文件是关于自动化立体仓库的详细介绍,包括其分类、系统组成、基本设施、机械设备、控制系统以及信息管理系统等方面。以下是文件的核心内容概要:1. 自动化立体仓库的分类高度分类:低层(5米以下)、中层(5-15米)、高层(15米以上)。操作对象分类:托盘单元...
windows基线加固脚本
11-17
Windows基线加固脚本是一种用于提高操作系统安全性的自动化工具,它可以通过设置和调整各种安全策略和配置来帮助防止系统被攻击或受到恶意软件的侵害。 这种脚本通常包括一系列针对Windows操作系统的安全配置和设置...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值