linux基线检查、基线加固、安全漏扫、系统漏洞、centos7、文尾部附脚本

最新推荐文章于 2024-06-22 09:32:44 发布
最新推荐文章于 2024-06-22 09:32:44 发布
阅读量4.8k 收藏 55
点赞数 5
文章标签: 安全 安全漏洞 操作系统 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42806458/article/details/110766097
版权

等保三级-CentOS Linux 7合规基线检查

风险分类:系统-等保三级-CentOS Linux 7合规基线检查

检测项说明:

CentOS Linux 7合规基线检查,对标中国等保2.0第三级等级保护基本要求部分检查项目,仅供参考

检查项目 : 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

加固建议: 
1、执行`cat /etc/shadow | awk -F: '($2 == "" ) { print $1}' `, 查看空密码账户并处理;
2、查看`/etc/passwd`,检查是否有重复UID的用户并清理; 
3、编辑`/etc/security/pwquality.conf` ,密码最小长度`minlen`设置为8-32之间,`minclass`设置3或4,如 `minlen=10` `minclass=3` 
4、定期更换密码,在 `/etc/login.defs` 中将`PASS_MAX_DAYS`参数设置为 `30-90`之间,如 `PASS_MAX_DAYS 90`。需同时执行命令设置root密码失效时间:`chage --maxdays 90 root` 
5、设置密码最短修改时间,在 `/etc/login.defs` 中将`PASS_MIN_DAYS`参数设置为 `7-14`之间,如 `PASS_MIN_DAYS 7`。需时执行命令为root用户设置:`chage --mindays 7 root `
6、在`/etc/pam.d/password-auth`和`/etc/pam.d/system-auth`中`password sufficient pam_unix.so` 这行的末尾配置`remember`参数为`5-24`之间,建议设为5,即行末尾加`remember=5` 
7、除root以外其他UID为0的用户,都应该删除或者修改其UID

检查项目 : 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听

加固建议: 
1、编辑 `/etc/ssh/sshd_config` 文件设置参数(Centos7无需配置):` Protocol 2 ` 
2、执行命令`service sshd restart`重启sshd服务 
3、执行以下命令停止Telnet服务: ```systemctl stop telnet.socket systemctl disable telnet.socket ```

检查项目 : 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

加固建议: 
1、配置登陆失败锁定,编辑`/etc/pam.d/password-auth`和`/etc/pam.d/system-auth`文件,在非注释行的第一行添加以下行(deny为连续失败次数,配置为3-8次,unlock_time为解锁时间,配置为600-1800秒) ```auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900 ```
2、设置系统登陆不活动连接超时退出,编辑`/etc/profile`,将`TMOUT` 设置为300到1800,即5-30分钟 ```TMOUT=900 ```
3、在`/etc/ssh/sshd_config`中取消`MaxAuthTries`注释符号#,设置最大密码尝试失败次数3-6,建议为5:`MaxAuthTries 5`

检查项目 : 应重命名或删除默认账户,修改默认账户的默认口令

加固建议: 
1、(注意:禁止root账户登陆前确保有其他账户可以正常使用)编辑配置文件`/etc/ssh/sshd_config`,将`PermitRootLogin yes` 改为`PermitRootLogin no` 
2、执行`service sshd restart`重启ssh 
3、root之外的系统默认帐户、数据库帐户禁止登陆(non-login) 
4、确保所有系统用户的密码都设置为复杂密码

检查项目 : 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

加固建议: 
1、执行以下4条命令: ```chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny chmod 644 /etc/hosts.allow ```
2、执行以下5条命令 ```chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow ```
3、设置 /etc/ssh/sshd_config 的权限: ```chown root:root /etc/ssh/sshd_config chmod 600 /etc/ssh/sshd_config ```
4、配置/etc/profile文件权限: ```chown root:root /etc/profile chmod 644 /etc/profile ```

检查项目 : 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

加固建议: 满足另外一个检查项:启用安全审计功能,即满足此项。

检查项目 : 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

加固建议: 
1、执行命令启用auditd服务:`systemctl start auditd `; 
2、执行命令`systemctl start rsyslog `启用rsyslog服务; 
3、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中: ```-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete -a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete ```
4、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中: ```-w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w 
/etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity ```
5、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中: ```-w /etc/sudoers -p wa -k scope -w /etc/sudoers.d/ -p wa -k scope ```重启:auditd: `service auditd restart`

系统-阿里云标准-CentOS Linux 7安全基线检查

风险分类:系统-阿里云标准-CentOS Linux 7安全基线检查

检测项说明:

基于阿里云最佳实践安全实践的CentOS Linux 7基线标准

检查项目 : 设置密码失效时间

加固建议: 
`使用非密码登陆方式如密钥对,请忽略此项。`
在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: ```PASS_MAX_DAYS 90 ```需同时执行命令设置root密码失效时间: ```chage --maxdays 90 root ```

检查项目 : 设置密码修改最小间隔时间

加固建议: 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,
建议为7: ```PASS_MIN_DAYS 7 ```需同时执行命令为root用户设置: ```chage --mindays 7 root ```

检查项目 : 密码复杂度检查

加固建议: 编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如: ```minlen=10 minclass=3 ```

检查项目 : 检查密码重用是否受限制

加固建议: 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

检查项目 : 确保SSH MaxAuthTries设置为3到6之间

加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: ```MaxAuthTries 4 ```

检查项目 : SSHD强制使用V2安全协议

加固建议: 
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: ```Protocol 2 ```

检查项目 : 设置SSH空闲超时退出时间

加固建议: 
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。 ```ClientAliveInterval 600 ClientAliveCountMax 2 ```

检查项目 : 确保SSH LogLevel设置为INFO

加固建议: 
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释): ```LogLevel INFO ```

基线加固脚本(centos7)

#!/bin/bash
# 基于阿里云最佳实践安全实践的CentOS Linux 7基线标准
# 系统-等保三级-CentOS Linux 7合规基线检查
sed -i.bak -e 's/^\(PASS_MAX_DAYS\).*/\1   180/' /etc/login.defs
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chage --maxdays 180 root
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i.bak -e 's/^\(PASS_MIN_DAYS\).*/\1   7/' /etc/login.defs
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chage --mindays 7 root
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/# minclass = 0/minclass = 3/g' /etc/security/pwquality.conf
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/# minlen = 9/minlen = 9/g' /etc/security/pwquality.conf
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok/password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5/g' /etc/pam.d/password-auth
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok/password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5/g' /etc/pam.d/system-auth
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/#MaxAuthTries 6/MaxAuthTries 4/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo 'Protocol 2' >> /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
#ssh超时时间
sed -i 's/#ClientAliveInterval 0/ClientAliveInterval 900/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/#ClientAliveCountMax 3/ClientAliveCountMax 3/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/#LogLevel INFO/LogLevel INFO/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
service sshd restart
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i '/# User/a\auth        required      pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900' /etc/pam.d/password-auth
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i '/# User/a\auth        required      pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900' /etc/pam.d/system-auth
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo 'TMOUT=900' >> /etc/profile
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
sed -i 's/PermitRootLogin yes/PermitRootLogin yes/g' /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
service sshd restart
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi

chown root:root /etc/hosts.allow 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chown root:root /etc/hosts.deny 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 644 /etc/hosts.deny 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 644 /etc/hosts.allow
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 0644 /etc/group 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 0644 /etc/passwd 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 0400 /etc/shadow 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 0400 /etc/gshadow
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chown root:root /etc/ssh/sshd_config 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 600 /etc/ssh/sshd_config
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chown root:root /etc/profile 
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
chmod 644 /etc/profile
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
systemctl start auditd
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
systemctl start rsyslog
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo '-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete -a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete' >> /etc/audit/rules.d/audit.rules
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo '-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete -a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete' >> /etc/audit/audit.rules
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo ' -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity' >> /etc/audit/rules.d/audit.rules
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo ' -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity' >> /etc/audit/audit.rules
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo ' -w /etc/sudoers -p wa -k scope -w /etc/sudoers.d/ -p wa -k scope' >> /etc/audit/rules.d/audit.rules
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
echo ' -w /etc/sudoers -p wa -k scope -w /etc/sudoers.d/ -p wa -k scope' >> /etc/audit/audit.rules
if [ "$?" == 0 ]
then
   echo -e "\033[32m True \033[0m"
else
   echo -e "\033[31m False \033[0m"
fi
systemctl stop rpcbind &>/dev/null
systemctl stop rpcbind.socket &>/dev/null
systemctl disable rpcbind.socket &>/dev/null
systemctl disable rpcbind.socket &>/dev/null
不是书本的小明
关注
  • 5
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux服务器基线加固安全漏扫工具(绿盟...)扫出来的系统漏洞
swindy博客
12-05 2780
以下脚本主要是修复漏扫工具扫出来的一些系统漏洞 例如:密码强度策略、默认密码有效期、ssh配置加固… 生产环境服务器为Centos7系列、在执行基线加固脚本后、重新对该服务器进行再次漏扫、已消除绝大部分检查项目 #!/bin/bash ### Hardening Script for CentOS7 Servers. ##定义变量### BACKUP=$(date +%F:%T) services_to_disable="chargen-dgram chargen-stream daytime-dgra
linux基线检查脚本+excel标准.zip
02-20
根据某某安全公司经常给第三方公司做基线检查的标准,用shell编写的linux基线检查脚本,将脚本放入需要检查的服务器,在对应位置输入sh.脚本名称,跑完后的结果直接与excel对应填写就好
推荐:Windows & Linux 基线检查工具及配置
最新发布
gitblog_00044的博客
06-22 408
推荐:Windows & Linux 基线检查工具及配置档 项目地址:https://gitcode.com/tangjie1/-Baseline-check 1、项目介绍 这是一款由唐杰精心打造的开源项目,提供了详尽的Windows和Linux操作系统基线检查配置档,并带自动化检查脚本。项目的目标是确保系统管理员或安全检查人员能够有效地执行和验证操作系统安全性设置,以达到信息安...
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
swindy博客
07-21 1643
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
实用脚本Linux安全基线检查
淡定波的博客
03-11 4614
近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。 只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此,优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux安全
Linux安全基线脚本
weixin_42159480的博客
11-17 354
【代码】Linux安全基线脚本
Windows&Linux基线检查脚本使用配置
qq_44484541的博客
04-20 1527
【代码】Windows&Linux基线检查脚本使用配置。
CentOS7或RHEL7的安全基线检查脚本
01-11
总之,遵循CIS安全基线并使用检查脚本CentOS7和RHEL7系统进行安全评估和加固,是确保系统安全的重要手段。通过自动化工具进行持续监控和维护,可以显著增强系统的防御能力,防止潜在的安全威胁。
CentOS Linux7 安全基线检查 明细
04-03
CentOS Linux7 安全基线检查 1.设置用户权限配置件的权限 描述:确保SSH LogLevel设置为INFO,记录登录和注销活动 方案: 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow ...
Linux系统一键安全加固shell脚本及使用说明.rar
01-28
Linux系统一键安全加固shell脚本及使用说明。已经在centos7上验证后的,欢迎大家下载。
一个实用的Linux基线加固脚本
06-28
Linux安全基线加固脚本,可用于对Linux操作系统进行基线加固,适用于Redhat Enterprise LinuxCentOS等。
Linux系统安全基线检查脚本
04-25
Linux系统安全基线检查脚本
等保基线核查 ——CentOS7
weixin_43965325的博客
10-19 1555
整理了等保基线核查(CentOS7)作业指导,包含测评要求和测评方法,以及整理了对一些件及参数的注释
windows&Linux基线检查配置档和自动化脚本
11-28 825
主要包括了账号配置安全、口令配置安全、授权配置、日志配置、IP通信配置等方面内容,这些安全配置直接反映了系统自身的安全脆弱性。注意: 当使用excel2007 打开生成的csv件时,如果出现乱码情况,请调整脚本的编码类型: 脚本第七行:#$PSDefaultParameterValues['Out-File:Encoding'] = 'utf8' --->$PSDefaultParameterValues['Out-File:Encoding'] = 'oem' 再次运行即可。
安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
生命在于学习——Linux安全加固以及基线检查
易水哲的博客
08-04 943
Linux基线检查安全加固
网络安全安全基线
qq_56438857的博客
07-26 1万+
在网络安全的基础知识中,安全基线必不可少。本篇是我在深信服安全服务课程中做的一些简短笔记,希望对大家能有所帮助。
linux自动化安全基线检查脚本
xxx0028的博客
03-18 5078
1.基线安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。 2.基线扫描 使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告的形式体现出扫描结果 有的工具将配置采集和配置对比分开,通过自动化脚本采集配置...
linux-基线修复脚本
打卤的博客
06-22 604
配置基线
centos7基线修复脚本
10-24
这个基线修复脚本是使用shell语言编写的,根据Linux基线安全标准,对CentOS 7操作系统进行扫描与修复。它具有以下优点: (1)可视化操作 (2)一键扫描/修复 (3)脚本收纳了14项安全标准,并支持扩展 (4)脚本中涉及到数组、函数等高级语法,具有一定的技术含量。 该脚本主要包括以下内容: 1. 背景概要 2. 系统日志访问控制 3. 口令复杂度检查 4. 件与目录缺省权限控制 5. 限制root用户远程登录-ssh登陆超时时间设置 6. 口令生存期使用PAM 7. 禁止任何人su为root 8. 配置用户最小授权限制 9. telnet服务检查是否记录 10. cron行为日志检查是否启用Syslog日志审计 11. 修改服务器密码不能与旧密码相同 12. 修改history命令 13. 禁止匿名FTP
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值