服务器基线加固脚本_Suse 系统基线加固脚本-第一弹

最新推荐文章于 2024-02-22 15:58:42 发布
VIP文章 最新推荐文章于 2024-02-22 15:58:42 发布
阅读量608 收藏 3
点赞数 1
文章标签: 服务器基线加固脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42318812/article/details/112808292
版权

最近写了一些操作系统加固的脚本,操作系统包括:Centos/RedHat、Ubuntu、Suse、Debian、Solaris,本文主要是Suse的脚本,后续更新其他操作系统的脚本

「听到内心」外面太吵,要学会听见自己内心的声音

话不多说,直接上代码吧。

脚本参数说明:

#!/bin/sh 指定执行脚本的shell类型

# file: /etc/profile 脚本修改涉及到的文件

# default: umask值大于等于027 修改内容的默认值

# return: result=SUCCESS/ENOSUPPORT 脚本返回的结果

# tested: centos5 centos7 unbuntu suse12 该脚本已经在这些系统上测试过

# baseline: 检查用户缺省UMASK 该脚本对应的检查项

检查口令策略设置是否符合复杂度要求

#!/bin/sh

# file: /etc/pam.d/system-auth /etc/pam.d/common-password [ todo /etc/pam.d/passwd]

# default: password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

# password requisite pam_cracklib.so try_first_pass retry=3

# return: result=SUCCESS/ENOSUPPORT

# tested: centos5 centos7 suse12

# baseline: 检查口令策略设置是否符合复杂度要求

# content: /etc/pam.d/system-auth文件中minclass大于等于2,minlen大于等于6

# write_config_file file_name key value type cmp

_write_pam_config_file_common()

{

file_name=$1

set_key=$2

set_value=$3

set_type=$4

vul_cmp=$5

curr_value=`cat $file_name|egrep -v "^#|^$"|grep -w "$set_key" --color=never|sed "s/^.*$set_key=//g"|sed 's/\s.*$//g'`

if [ ! -n "$curr_value" ]; then

echo "add "$set_key" to "$file_name

sed -i "s/\(.*$set_type\)\(.*\)$/\1 $set_key=$set_value\2/g" $file_name

else

if [ "$vul_cmp" == "lt" ]; then

if [ $curr_value -lt $set_value ]; then

echo $set_key" last = "$curr_value

echo "set "$set_key" to "$set_value

sed -i "s/\(.*$set_type.*\)$set_key=[0-9]*\(.*\)/\1$set_key=$set_value\2/g" $file_name

else

echo $set_key " last = "$curr_value " already fix"

fi

elif [ "$vul_cmp" == "gt" ]; then

if [ $curr_value -gt $set_value ]; then

echo $set_key" last = "$curr_value

echo "set "$set_key" to "$set_value

sed -i "s/\(.*$set_type.*\)$set_key=[0-9]*\(.*\)/\1$set_key=$set_value\2/g" $file_name

else

echo $set_key " last = "$curr_value " already fix"

fi

fi

fi

}

# _write_pam_config_file_cracklib_minclass conf_filename

_write_pam_config_file_cracklib_minclass()

{

file_name=$1

set_line=`grep "pam_cracklib.so" $file_name|grep --color=never "ucredit="`

if [ ! -n "$set_line" ]; then

echo "add ucredit to pam_cracklib.so file = "$file_name

sed -i 's/\(.*pam_cracklib.so\)\(.*\)$/\1 ucredit=-1\2/g' $file_name

else

echo "ucredit already set"

fi

set_line=`grep "pam_cracklib.so" $file_name|grep "--color=never dcredit="`

if [ ! -n "$set_line" ]; then

echo "add dcredit to pam_cracklib.so file = "$file_name

sed -i 's/\(.*pam_cracklib.so\)\(.*\)$/\1 dcredit=-1\2/g' $file_name

else

echo "dcredit already set"

fi

}

autofix()

{

fix_minlen=0

fix_minclass=0

FILE_LIST="/etc/pam.d/system-auth /etc/pam.d/common-password"

for conf_file in $FILE_LIST; do

echo "check "$conf_file

if [ -f $conf_file ]; then

echo "backup..."$conf_file

cp $conf_file $conf_file"_&

最低0.47元/天 解锁文章
无知的迷途羔羊
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
网安等保 | 主机安全之KylinOS银河麒麟服务器配置优化与安全加固基线文档脚本分享
WeiyiGeek 唯一极客IT知识分享
06-30 1767
描述: 随着国家要求各政府部门及事企业单位服务器系统国产化,越来越多的的企业单位逐步引进国产化Linux操作系统(大趋势),在众多国产操作系统中银河麒麟(KylinOS)、中科方德、统信UOS,此三家持续版本迭代超15年的其生态市场及占有率最高, 除此之外红旗Linux、共创Linux、凝思磐石、新支点、深度Linux、Start OS、思普操作系统、云针OS、鸿蒙OS、YunOS、OpenCloudOS等国产操作系统
Linux安全基线加固
最新发布
thinker
02-22 1184
Linux安全基线加固
网安等保 | 主机安全之CentOS8服务器配置优化与安全加固基线文档脚本分享
WeiyiGeek 唯一极客IT知识分享
06-16 1145
描述: 千呼万唤始出来,网安等保系列之Linux系统主机安全加固文章又更新了,由于作者的【安全开发运维】运维学习答疑群(PS: 公众号回复【微信交流群】即可进入哟)的小伙伴们企业中需要针对CentOS8服务器系统进行安全加固,以通过等保3级的主机安全合规检查,作为群主大大的我必须响应群员们的号召,在工作之余,边带娃,边编写该系统加固脚本, 遂在昨日完成该脚本的编写以及验证,可谓是真不容易呀。当前由于。
windows加固脚本_安全基线(Linux和Windows篇)讲的很详细,内有学习资料
weixin_39979159的博客
11-22 1267
安全基线其实是系统最低安全要求的配置,常见的安全基线配置标准有ISO270001、等级保护2.0等,也有某些企业自己的标准。安全基线检查涉及操作系统、中间件、数据库、甚至是交换机等网络基础设备的检查,面对如此繁多的检查项,自动化的脚本可以帮助我们快速地完成基线检查的任务。一般来说基线检查基本上需要root权限,并且网上大部分的基线加固脚本都是脚本直接对系统进行操作,但是即使基线检查之前做了充分的备...
centos 基线加固脚本(等保三级合规)适用centos、redhat7.x-8.x、rocky8.x、openEuler 20.x-22.x
jummewu的博客
11-06 764
Centos7等保三级基线合规自动配置脚本
基线检查加固脚本
huang714的专栏
08-26 889
Linux的shell加固脚本 #!/bin/bash #设置密码复杂度 if [ -z "`cat /etc/pam.d/system-auth | grep -v "^#" | grep "pam_cracklib.so"`" ];then sed -i '/password required pam_deny.so/a\password required pam_cracklib.so try_first_pass minlen=8 ucredit=-1
针对SUSE操作系统的主机进行安全加固.doc
12-29
SUSE操作系统的主机进行安全加固
中间件+数据库+系统+设备+网络的网络安全基线核查
07-16
cisco防火墙PIX&ASA基线检查 cisco路由交换基线检查表 esxi基线检查 H3C路由交换基线检查 linux基线check ...suse基线检查 windows基线检查 负载均衡基线检查 中间件基线核查 Linux基线核查 MySql基线核查 等等
suse.rar_suse_suse Linux
09-14
suse linux 10.0安装教程,用图形一步一步教你如何安装及设置,非常详细。
SUSELinux主机安全加固通用操作指导书.doc
02-24
SUSELinux主机安全加固通用操作指导书
windows系统漏洞加固
04-18
一. 账号口令 1.1 检查是否已启用密码复杂性要求(低危) 1.2 检查是否已正确配置密码长度最小值(低危) 1.3 检查是否按组进行用户管理(低危) 1.4 检查是否按照权限、责任创建、使用用户账号(低危) 1.5 检查是否已正确配置“复位帐户锁定计数器”时间(低危) 1.6 检查是否已正确配置帐户锁定阈值(低危) 1.7 检查是否已删除或禁用高危帐户(低危) 1.8 检查是否已正确配置密码最长使用期限(低危) 1.9 检查是否已正确配置“强制密码历史”(低危) 1.10 检查是否已正确配置密码最短使用期限(低危) 1.11 域环境:检查是否已启用“域环境下禁止计算机帐户更改密码”策略(低危) 1.12 检查是否已更改管理员帐户名称(低危) 1.13 检查是否已正确配置帐户锁定时间(低危) 二. 认证授权 2.1 检查是否已限制可关闭系统的帐户和组(低危) 2.2 检查是否已限制可从远端关闭系统的帐户和组(低危) 2.3 检查是否已限制“取得文件或其它对象的所有权”的帐户和组(低危) 2.4 检查是否已正确配置“从网络访问此计算机”策略(低危) 2.5 检查是否已正确配置“允许本地登录”策略(低危) 2.6 检查是否已删除可远程访问的注册表路径和子路径(低危) 2.7 检查是否已限制匿名用户连接(低危) 2.8 检查是否已删除可匿名访问的共享和命名管道(低危) 三. 日志审计 3.1 检查是否已正确配置应用程序日志(低危) 3.2 检查是否已正确配置审核(日志记录)策略(低危) 3.3 检查是否已正确配置系统日志(低危) 3.4 检查是否已正确配置安全日志(低危) 四. 协议安全 4.1 检查是否已开启Windows防火墙(低危) 4.2 检查是否已启用TCP/IP筛选功能(低危) 4.3 检查是否已修改默认的远程桌面(RDP)服务端口(低危) 4.4 检查是否已禁用路由发现功能(低危) 4.5 检查是否已正确配置重传单独数据片段的次数(低危) 4.6 检查是否已启用并正确配置源路由攻击保护(低危) 4.7 检查是否已删除SNMP服务的默认public团体(低危) 4.8 检查是否已禁用失效网关检测(低危) 4.9 检查是否已启用并正确配置TCP碎片攻击保护(低危) 4.10 检查是否已启用并正确配置ICMP攻击保护(低危) 4.11 检查是否已正确配置TCP“连接存活时间”(低危) 4.12 检查是否已启用并正确配置SYN攻击保护(低危) 五. 其他安全 5.1 检查是否已关闭不必要的服务-Windows Internet Name Service (WINS)(高危) 5.2 检查是否已关闭不必要的服务-Remote Access Connection Manager(高危) 5.3 检查是否已禁止Windows自动登录(高危) 5.4 检查是否已关闭不必要的服务-Simple TCP/IP Services(高危) 5.5 检查是否已关闭不必要的服务-Simple Mail Transport Protocol (SMTP)(高危) 5.6 检查是否已关闭不必要的服务-DHCP Client(高危) 5.7 检查是否已关闭不必要的服务-Message Queuing(高危) 5.8 检查是否已关闭不必要的服务-DHCP Server(高危) 5.9 检查系统是否已安装最新补丁包和补丁(中危) 5.10 检查是否已安装防病毒软件(中危) 5.11 检查是否已禁用“登录时无须按 Ctrl+Alt+Del”策略(低危) 5.12 检查是否已创建多个磁盘分区(低危) 5.13 检查是否已启用并正确配置屏幕保护程序(低危) 5.14 检查是否已启用Windows数据执行保护(DEP)(低危) 5.15 检查是否已禁用Windows硬盘默认共享(低危) 5.16 检查磁盘分区是否都是NTFS文件系统(低危) 5.17 检查是否已关闭Windows自动播放(低危) 5.18 域环境:检查是否已正确配置域环境下安全通道数据的安全设置(低危) 5.19 域环境:检查是否已启用“域环境下需要强会话密钥”策略(低危) 5.20 域环境:检查是否已启用“需要域控制器身份验证以解锁工作站”策略(低危) 5.21 检查是否已正确配置“锁定会话时显示用户信息”策略(低危) 5.22 检查是否已启用“当登录时间用完时自动注销用户”策略(低危) 5.23 检查是否已正确配置“提示用户在密码过期之前进行更改”策略(低危) 5.24 检查是否已启用并正确配置Windows网络时间同步服务(NTP)(低危) 5.25 检查共享文件夹的权限设置是否安全(低危) 5.26 域环境:检查是否已正确配置“可被缓存保存的登录的个数”策略(低危) 5.27 检查是否已正确配置服务器在暂停会话前所需的空闲时间量(低危) 5.28 检查是否已启用“不显示最后的用户名”策略(低危) 5.29 检查是否已启用并正确配置Windows自动更新(低危)
一个实用的Linux基线加固脚本
06-28
Linux安全基线加固脚本,可用于对Linux操作系统进行基线加固,适用于Redhat Enterprise Linux,CentOS等。
suse-linux-11-64.rar_suse
09-14
suse linux 安装说明,非常详细,在安装操作系统之前必须先关闭盘柜电源,按以下步骤安装
shell脚本-----基线加固脚本---ali-baseline.sh
linus.lin的博客
01-02 1342
#!/bin/bash cy() { #检查密码重用是否受限制 if [[ ! -f $1 ]];then echo "$1 not found" exit 1 fi grep 'password' $1 |grep sufficient |grep remember &> /dev/null if [[...
Linux机器24项安全合规设置
Macro2的博客
03-15 6329
1. 检查FTP配置-限制用户FTP登录控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作:(1)vsftp:# vi /etc/vsftp/vsftpd.conf 手动将userlist_enable改为yes//限制/etc/vsftpd/user_list文件里的用户不能访问。# vi /etc/pam.d/vsftpd将file=后...
Ubuntu 账户管理
yake1965
12-30 2053
Ubuntu 账户管理 Ubuntu 默认不能直接用root帐户登录,必须从第一个创建的用户(安装时创建)通过su或sudo来获得root权限。 一、 sudo(Super User Do) sudo + 直接运行提示无权限的命令 不是所有命令都能用sudo执行的,比如 cd 命令前不能用sudo。 在第一次用sudo运行命令时会提示输入当前用户的密码,在当前终端再次使用sudo时不需要再次输入密码。 sudo的作用是在确认当前用户是本人(输入过当前用户的密码)情况下暂时将root权限借用给当前用户,会有
windows 怎么查看本地存储的远程连接的密码_安全服务之安全基线加固(一)Windows篇...
weixin_39524147的博客
11-24 3760
一个热爱分享的公众号和一群热爱这个行业的作者们。此文章为连载文章0x01 前言安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!对于基线加固说,不管是对于安服还是安全运营...
SuSE安全加固
majmmajm的专栏
10-19 454
SUSE由于其出色的性能和对安全较好的控制,吸引了很多企业级用户,目前在国内开始有大量的关键应用。但这并不代表SUSE在使用中就是安全的,SUSE里还有很多安全细节要注意。本文就SUSE中的这些安全细节进行逐一介绍,为大家揭开每一个需要注意的地方。 [b]  一、补丁、SSH及其他   1、补丁[/b]   每个补丁的更新都意味着这是一个安全漏洞,或是有其他严重的功能问题,但如果...
suse系统docker-compose
10-02
SUSE系统上安装Docker Compose可以按照以下步骤进行: 1. 首先,确保已经安装了Docker引擎。可以通过运行以下命令来验证是否已经安装了Docker: ``` docker --version ``` 如果没有安装,请按照SUSE官方文档的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值