linux 系统安全审计脚本

最新推荐文章于 2024-06-18 17:10:48 发布
最新推荐文章于 2024-06-18 17:10:48 发布
阅读量636 收藏 4
点赞数 1
分类专栏: linux 运维 shell脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39924293/article/details/98958197
版权 
echo "警告:本脚本只是一个检查的操作,未对服务器做任何修改,管理员可以根据此报告进行相应的设置。"

echo ---------------------------------------主机安全检查----------------------- >>audit.txt

echo "系统版本" >>audit.txt

uname -a >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

echo "本机的ip地址是:" >>audit.txt

ifconfig | grep --color "\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}" >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

awk -F":" '{if($2!~/^!|^*/){print "("$1")" " 是一个未被锁定的账户,请管理员检查是否需要锁定它或者删除它。"}}' /etc/shadow >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

more /etc/login.defs | grep -E "PASS_MAX_DAYS" | grep -v "#" |awk -F' '  '{if($2!=90){print "/etc/login.defs里面的"$1 "设置的是"$2"天,请管理员改成90天。"}}' >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

more /etc/login.defs | grep -E "PASS_MIN_LEN" | grep -v "#" |awk -F' '  '{if($2!=6){print "/etc/login.defs里面的"$1 "设置的是"$2"个字符,请管理员改成6个字符。"}}' >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

more /etc/login.defs | grep -E "PASS_WARN_AGE" | grep -v "#" |awk -F' '  '{if($2!=10){print "/etc/login.defs里面的"$1 "设置的是"$2"天,请管理员将口令到期警告天数改成10天。"}}' >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

echo '查看口令复杂度设置:'  >>audit.txt

cat /etc/pam.d/system-auth  >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

grep TMOUT /etc/profile /etc/bashrc > /dev/null|| echo "未设置登录超时限制,请设置之,设置方法:在/etc/profile或者/etc/bashrc里面添加TMOUT=600参数" >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

if ps -elf |grep xinet |grep -v "grep xinet";then >>audit.txt

echo "xinetd 服务正在运行,请检查是否可以把xinnetd服务关闭" >>audit.txt

else

echo "xinetd 服务未开启" >>audit.txt

fi

echo -------------------------------------------------------------------------- >>audit.txt
echo "查看系统关键文件权限" >>audit.txt

ls -la /var/log/messages >>audit.txt

ls -la /var/log/messages.* >>audit.txt

ls -la /etc/shadow >>audit.txt

ls -la /etc/passwd >>audit.txt

ls -la /etc/group >>audit.txt

ls -la /etc/gshadow >>audit.txt

ls -la /etc/inittab >>audit.txt

ls -la /etc/profile >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

echo "查看系统UMASK值" >>audit.txt

more /etc/profile | grep umask >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

echo "查看系统密码文件修改时间" >>audit.txt

ls -ltr /etc/passwd >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

echo  "查看是否开启了ssh服务" >>audit.txt

if service sshd status | grep -E "listening on|active \(running\)"; then >>audit.txt

echo "SSH服务已开启" >>audit.txt

else

echo "SSH服务未开启" >>audit.txt

fi

echo -------------------------------------------------------------------------- >>audit.txt

echo '检查root远程登录' >>audit.txt

cat /etc/ssh/sshd_config | grep -v ^# |grep "PermitRootLogin no" >>audit.txt
if [ $? -eq 0 ];then
  echo "已经设置远程root不能登陆,符合要求" >>audit.txt
else
  echo "不已经设置远程root不能登陆,不符合要求,建议/etc/ssh/sshd_config添加PermitRootLogin no" >>audit.txt
fi

echo -------------------------------------------------------------------------- >>audit.txt

echo "查看是否开启了TELNET服务" >>audit.txt

if more /etc/xinetd.d/telnetd 2>&1|grep -E "disable=no"; then >>audit.txt

echo  "TELNET服务已开启 " >>audit.txt

else

echo  "TELNET服务未开启 " >>audit.txt

fi

echo -------------------------------------------------------------------------- >>audit.txt

echo  "查看系统SSH远程访问设置策略(host.deny拒绝列表)" >>audit.txt

if more /etc/hosts.deny | grep -E "sshd: ";more /etc/hosts.deny | grep -E "sshd"; then >>audit.txt

echo  "远程访问策略已设置 " >>audit.txt

else

echo  "远程访问策略未设置 " >>audit.txt

fi

echo -------------------------------------------------------------------------- >>audit.txt

echo  "查看系统SSH远程访问设置策略(hosts.allow允许列表)" >>audit.txt

if more /etc/hosts.allow | grep -E "sshd: ";more /etc/hosts.allow | grep -E "sshd"; then >>audit.txt
 
echo  "远程访问策略已设置 " >>audit.txt

else

echo  "远程访问策略未设置 " >>audit.txt

fi

echo "当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。" >>audit.txt

echo ------------------------------------------------------------------------- >>audit.txt

echo "查看shell是否设置超时锁定策略" >>audit.txt

if more /etc/profile | grep -E "TIMEOUT= "; then >>audit.txt

echo  "系统设置了超时锁定策略 " >>audit.txt

else

echo  "未设置超时锁定策略 " >>audit.txt

fi

echo ------------------------------------------------------------------------- >>audit.txt

echo "查看syslog日志审计服务是否开启" >>audit.txt

if service rsyslog status | egrep " active \(running";then >>audit.txt

echo "rsyslog服务已开启" >>audit.txt

else

echo "rsyslog服务未开启,建议通过service rsyslog start开启日志审计功能" >>audit.txt

fi

echo ------------------------------------------------------------------------- >>audit.txt

echo "查看syslog日志是否开启外发" >>audit.txt

if more /etc/rsyslog.conf | egrep "@...\.|@..\.|@.\.|\*.\* @...\.|\*\.\* @..\.|\*\.\* @.\.";then >>audit.txt

echo "客户端syslog日志已开启外发" >>audit.txt

else

echo "客户端syslog日志未开启外发" >>audit.txt

fi

echo ------------------------------------------------------------------------- >>audit.txt
echo "查看是否开启了审计服务" >>audit.txt
ps -ef | grep auditd >>audit.txt
echo ------------------------------------------------------------------------- >>audit.txt

echo "查看passwd文件中有哪些特权用户" >>audit.txt

awk -F: '$3==0 {print $1}' /etc/passwd >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "查看系统中是否存在空口令账户" >>audit.txt

awk -F: '($2=="!!") {print $1}' /etc/shadow >>audit.txt

echo "该结果不适用于Ubuntu系统" >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "查看系统中root用户外连情况" >>audit.txt

lsof -u root |egrep "ESTABLISHED|SYN_SENT|LISTENING" >>audit.txt
 
echo ----------------------------状态解释------------------------------ >>audit.txt

echo "ESTABLISHED的意思是建立连接。表示两台机器正在通信。" >>audit.txt

echo "LISTENING的" >>audit.txt

echo "SYN_SENT状态表示请求连接" >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "查看系统中root用户TCP连接情况" >>audit.txt

lsof -u root |egrep "TCP" >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "查看系统中存在哪些非系统默认用户" >>audit.txt

echo "root:x:“该值大于500为新创建用户,小于或等于500为系统初始用户”" >>audit.txt

more /etc/passwd |awk -F ":" '{if($3>500){print "/etc/passwd里面的"$1 "的值为"$3",请管理员确认该账户是否正常。"}}' >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "检查系统守护进程" >>audit.txt

more /etc/xinetd.d/rsync | grep -v "^#" >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "检查系统是否存在入侵行为" >>audit.txt

more /var/log/secure |grep refused >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "--------------------------路由表、网络连接、接口信息--------------" >>audit.txt

netstat -rn  >>audit.txt


echo ------------------------------------------------------------------------ >>audit.txt

echo "查看正常情况下登录到本机的所有用户的历史记录" >>audit.txt

last >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "检查系统中core文件是否开启" >>audit.txt

ulimit -c >>audit.txt

echo "core是unix系统的内核。当你的程序出现内存越界的时候,操作系统会中止你的进程,并将当前内存状态倒出到core文件中,以便进一步分析,如果返回结果为0,则是关闭了此功能,系统不会生成core文件" >>audit.txt

echo ------------------------------------------------------------------------ >>audit.txt

echo "检查系统中关键文件修改时间" >>audit.txt

ls -ltr /bin/ls /bin/login /etc/passwd /bin/ps /usr/bin/top /etc/shadow|awk '{print "文件名:"$8"  ""最后修改时间:"$6" "$7}' >>audit.txt

echo "ls文件:是存储ls命令的功能函数,被删除以后,就无法执行ls命令,黑客可利用篡改ls文件来执行后门或其他程序

login文件:login是控制用户登录的文件,一旦被篡改或删除,系统将无法切换用户或登陆用户

user/bin/passwd是一个命令,可以为用户添加、更改密码,但是,用户的密码并不保存在/etc/passwd当中,而是保存在了/etc/shadow当中

etc/passwd是一个文件,主要是保存用户信息。

sbin/portmap是文件转换服务,缺少该文件后,无法使用磁盘挂载、转换类型等功能。

bin/ps 进程查看命令功能支持文件,文件损坏或被更改后,无法正常使用ps命令。

usr/bin/top  top命令支持文件,是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况。

etc/shadow shadow 是 /etc/passwd 的影子文件,密码存放在该文件当中,并且只有root用户可读。" >>audit.txt

echo -------------------------------------------------------------------------- >>audit.txt

echo "-------------------查看系统日志文件是否存在--------------------" >>audit.txt

log=/var/log/syslog >>audit.txt

log2=/var/log/messages >>audit.txt

if [ -e "$log" ]; then

echo  "syslog日志文件存在! " >>audit.txt

else

echo  "/var/log/syslog日志文件不存在! " >>audit.txt

fi

if [ -e "$log2" ]; then

echo  "/var/log/messages日志文件存在! " >>audit.txt

else

echo  "/var/log/messages日志文件不存在! " >>audit.txt

fi

echo -------------------------------------------------------------------------->>audit.txt

echo "------------------------主机性能检查--------------------------------" >>audit.txt
 
echo ---------------------------------------------------------------------- >>audit.txt

echo "查看僵尸进程" >>audit.txt

ps -ef | grep zombie >>audit.txt

echo ---------------------------------------------------------------------- >>audit.txt

echo "耗CPU最多的进程" >>audit.txt

ps auxf |sort -nr -k 3 |head -5 >>audit.txt

echo ---------------------------------------------------------------------- >>audit.txt

echo "耗内存最多的进程" >>audit.txt

ps auxf |sort -nr -k 4 |head -5 >>audit.txt

echo ---------------------------------------------------------------------- >>audit.txt

cat /etc/security/limits.conf >>audit.txt

echo --------------------------------------------------------------------- >>audit.txt

 

weixin_39924293
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linuxps -ef|grep详解
coco3600的博客
12-05 4176
Linuxps -ef|grep详解 Linux下显示系统进程的命令ps,最常用的有ps -efps aux。这两个到底有什么区别呢?两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风...
ps -ef|grep ?解释
萌兔兔MMQ!!
09-07 2775
上述内容为: 命令拆解:ps:将某个进程显示出来 -A  显示所有程序。 -e  此参数的效果和指定"A"参数相同。 -f  显示UID,PPIP,C与STIME栏位。 grep命令是查找 中间的|是管道命令 是指ps命令grep同时执行 这条命令的意思是显示有关mysql有关的进程UID PID PPID C STIME TTY TIME CMD 各相关信息的意义:UID: 程序被该 UID 所拥有PID :就是这个程序的 IDPPID :则是其上级父程序的IDC: CPU 使用的资源百分比STIME
【安全】linux audit审计使用入门
最新发布
baimao__Ch的博客
06-18 364
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux中的ps -ef | grep 指令总结(进程查看ps/ps -ef、进程关闭kill pid、管道运算符 | 、grep文本搜索工具/ps -ef | grep
qq_42595610的博客
08-15 1万+
这个命令会先执行 ps -ef 来获取所有正在运行的进程信息,然后将结果传递给 grep 命令进行过滤。grep httpd 会搜索匹配 “httpd” 的行,并将结果显示出来,这样你就可以看到所有包含 “httpd” 的进程信息。这种方法只是在文件外面搜索,如果你已经打开了某个文件:vim ./duzhong.txt,然后在里面寻找某一行的话(vim模式下查找匹配的行)它用于显示当前正在运行的进程的信息。然后N表示上一个,n表示下一个,切换到查找出来的项即可。(并不全,而且还不显示详细的完成进程信息)
Linux基础】四、常用基本命令——进程管理类命令(ps -ef/ps aux,kill,pstree,top,netstat)、系统定时任务 crontab
m0_62783065的博客
10-08 2086
linux常用基本命令:进程管理类命令(ps -ef/ps aux,kill,pstree,top,netstat)、系统定时任务 crontab
linux PS命令详解
Yang的博客
04-08 1999
ps概念,ps常用参数,ps常用例子,ps Head标头信息
Linux系统配置检查脚本
热门推荐
秦子腾
04-17 2万+
事情的原委:统计记录机房服务器资源配置等信息,由于没有监控系统,当时就是很繁琐的使用Linux命令查看记录,这导致浪费大量时间浪费在这种繁琐的工作上,时间就是金钱,为了避免以后有类似的事情发生,利用空闲时间把这个脚本写出来了,主要用于查看Linux服务器当前配置以及资源使用情况,有同样需求的小伙伴建议直接拿去复用!还实现了输出系统当前占有内存、CPU 最高的Top10信息 方便运维人员判断进程是否正常,每执行一次会打印结果并输出到日志文件中。1、可以做个计划任务每天自动执行,记录当前系统信息;
linux进程查看连载之:PS命令
anlianhuo0796的博客
09-28 350
平时linux进程查看还是比较常用的,在此研究一下linux ps命令的使用方式: 1. ps简介前面介绍的两个命令(who、w命令)都是用于查看当前系统用户的情况,下面就来看看进程的情况,这也是本章的主题。要对进程进行监测和控制,首先必须要了解当前进程的情况,也就是需要查看当前进程,而ps命令就是最基本同时也是非常强大的linux进程查看命令。使用该命令可以确定有哪些进程正在运行和运...
linux安全审计扫描工具-Lynis
08-15
Linux安全审计扫描工具Lynis是一款强大的开源工具,主要用于评估和增强Linux系统的安全性。它适合于开发者、系统管理员、审计管理员以及渗透测试人员使用,帮助他们进行合规性测试、系统安全评估以及防御加固。Lynis...
linux基线检查脚本.rar
04-08
总的来说,Linux基线检查脚本是提升系统安全性和合规性的重要工具,它可以帮助我们自动化执行复杂的配置检查,提高运维效率,同时确保系统始终符合预设的安全标准。对于运维人员来说,理解和掌握这样的脚本编写技巧...
Ubuntu Linux系统安全分析.pdf
09-06
【Ubuntu Linux系统安全分析】 Ubuntu Linux是一款广泛应用的开源操作系统,以其稳定性、安全性及友好的用户界面受到青睐。在本文中,我们将重点讨论在Ubuntu Linux环境下基于Apache构建的Web服务器的安全性,并对...
Linux系统安全防护小技巧.pdf
09-06
Linux系统安全防护是确保系统稳定运行的关键环节,尤其在企业、政府及个人用户中,随着网络威胁的增加,加强安全防护显得尤为重要。本文将分享一些实用的Linux系统安全防护小技巧,帮助用户提升系统的安全性。 首先...
Linux操作系统用户操作审计初探.pdf
09-06
综上所述,对Linux操作系统的用户操作审计进行深入研究和改进,不仅可以帮助系统管理员快速定位问题,也能有效防止和检测潜在的安全威胁,提升企业信息安全管理水平。在实际操作中,应结合多种审计方法,构建全方位...
linux 基线加固/等保整改
weixin_53801131的博客
04-28 1417
通过上面这些限制,就能更好地控制系统中的用户对进程、core文件和内存的使用情况。unlock_time=300 even_deny_root(不加这句root不会锁) root_unlock_time=60。目的:在设备权限配置能力内,根据用户的企业需求,配置其所需的最小权限,以减少被非法访问的可能性。目的:修改创建文件或目录时的默认权限,防止属于该组的其他用户级别组的用户修改该用户的文件。目的:删除系统不需要的默认账号、更改危险账号的默认shell变量,降低被利用的可能性。
Linux】运维常用shell脚本
FixPng的博客
03-17 2398
linux系统管理,服务器及应用监控,python环境安装,nginx安装,数据库备份,从各处搜集来的shell脚本,会持续更新。
linux开启安全审计功能,Linux操作系统之安全审计功能
weixin_28932089的博客
05-15 1万+
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
ps -ef | grep java
weixin_33920401的博客
09-13 3629
ps -ef | grepxx ps命令将某个进程显示出来 grep命令是查找 中间的|是管道命令 是指ps命令grep同时执行 PSLINUX下最常用的也是非常强大的进程查看命令 grep命令是查找,是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。 grep全称是Global Regular Expression Print,表示全局正则...
oracle审计脚本,Oracle审计策略例子
weixin_36373013的博客
04-06 316
首先确保Oracle初始化参数audit_trail值为DB或OS,通过“show parameter audit_trail;”查看。1 语句审计audit table by test by access;select * from dba_stmt_audit_opts; --查看是否创建语句审计成功select * from employee_log;delete from employee...
Linux安全检查脚本
云守护的专栏
10-09 3852
转自:http://www.freebuf.com/sectool/108564.html check.sh #!/bin/bash echo " (__)" echo " (oo)" echo " /------\/ " echo " / | || " echo " * /\---/\ " echo " ~~ ~~ "
Lynis:深度Linux安全审计与强化工具详解
Lynis是一款强大的Linux安全审计扫描工具,专为系统管理...Lynis是Linux系统安全检查的理想选择,尤其适合希望深入了解系统安全状况并采取相应措施的组织和个人。通过合理安装、使用和定制,可以有效提升系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值