【信息安全系列】Linux主机安全检查

#!/bin/bash

#################################################################
##                                                             ##
##    It was used for Linux OS Security configuration check    ##
##                                                             ##
#################################################################

##检查Linux主机是否开启了不必要的服务等；##
echo ‘###检查Linux主机是否开启了不必要的服务等；###‘
chkconfig --list|egrep "shell|login|exec|talk|ntalk|imap|pop-2|pop-3|finger|auth|Anancron|Cups|Gpm|Isdn|Kudzu|Pcmcia|Rhnsd|ipop2|ipop3"|grep -w "on"
##检查是否关闭R系列服务(rlogin、rsh、rexec等)##
echo ‘###检查是否关闭R系列服务(rlogin、rsh、rexec等)###‘
chkconfig --list|egrep "rexec|rlogin|rsh"|grep -w "on"
##检查用户口令策略是否符合安全要求##
echo ‘###检查用户口令策略是否符合安全要求###‘
function Calculate
{
  CREDIT=`cat $FILE|egrep -v "^#|^$"|grep -w "credit"|sed ‘s/^.*credit=//g‘|sed ‘s/\s.*$//g‘`
  DCREDIT=`cat $FILE|egrep -v "^#|^$"|grep -w "dcredit"|sed ‘s/^.*dcredit=//g‘|sed ‘s/\s.*$//g‘`
  LCREDIT=`cat $FILE|egrep -v "^#|^$"|grep -w "lcredit"|sed ‘s/^.*lcredit=//g‘|sed ‘s/\s.*$//g‘`
  UCREDIT=`cat $FILE|egrep -v "^#|^$"|grep -w "ucredit"|sed ‘s/^.*ucredit=//g‘|sed ‘s/\s.*$//g‘`
  OCREDIT=`cat $FILE|egrep -v "^#|^$"|grep -w "ocredit"|sed ‘s/^.*ocredit=//g‘|sed ‘s/\s.*$//g‘`
  MINCLASS=`cat $FILE|egrep -v "^#|^$"|grep -w "minclass"|sed ‘s/^.*minclass=//g‘|sed ‘s/\s.*$//g‘`
  MINLEN=`cat $FILE|grep -v "^#|^$"|grep "minlen"|sed ‘s/^.*minlen=//g‘|sed ‘s/\s.*$//g‘`
  COUNT=0
  for NO in $CREDIT $DCREDIT $LCREDIT $UCREDIT $OCREDIT
  do
     if ([[ $NO -lt 0 ]]);
     then COUNT=`expr $COUNT + 1`
     fi
  done
  if ([[ $MINCLASS -ge 2 ]] && [[ $MINLEN -ge 6 ]]);
     then echo "check reuslt:true"
          elif ([[ $COUNT -ge 2 ]] && [[ $MINLEN -ge 6 ]]);
          then echo "check reuslt:true"
      else echo "check reuslt:false"
  fi
  unset CREDIT DCREDIT LCREDIT UCREDIT OCREDIT MINCLASS MINLEN COUNT
}
if ([ -f /etc/redhat-release ] &&[ -f /etc/pam.d/system-auth ]);
then FILE=/etc/pam.d/system-auth
     cat $FILE |sed ‘/^#/d‘|sed ‘/^$/d‘
     Calculate
elif ([ -f /etc/SuSE-release ] && [ -f /etc/pam.d/passwd ]);
then FILE=/etc/pam.d/passwd
     cat $FILE|grep -v ‘^#‘|grep -v ‘^$‘
     Calculate
fi
if [ -f /etc/pam.d/login ];
then cat /etc/pam.d/login |sed ‘/^#/d‘|sed ‘/^$/d‘;
fi;
if [ -f /etc/pam.d/sshd ];
then cat /etc/pam.d/sshd |sed ‘/^#/d‘|sed ‘/^$/d‘;
fi
##检查FTP是否禁止匿名登录##
echo ‘###检查FTP是否禁止匿名登录###‘
grep anonymous /etc/ftpusers|grep -v ‘#‘
grep anonymous /etc/vsftpd/vsftpd.conf|grep -v ‘#‘
##检查SNMP是否修改默认通讯字符串##
echo ‘###检查SNMP是否修改默认通讯字符串###‘
chkconfig  --list snmpd
cat /etc/snmp/snmpd.conf|egrep "public|private"|grep -v ‘#‘
##检查操作系统帐号是否存在弱口令##
echo ‘###检查操作系统帐号是否存在弱口令###‘
cat /etc/shadow
##检查Unix系统是否启用信任主机方式，配置文件是否配置妥当##
echo ‘###检查Unix系统是否启用信任主机方式，配置文件是否配置妥当###‘
cat $HOME/.rhosts|grep "++"
cat /etc/hosts.equiv|grep "++"
##设备安全事件审计##
echo ‘###设备安全事件审计###‘
function Check_SYSLOGD
{
if [ -f  /etc/syslog.conf ];
   then SYSLOGCONF=/etc/syslog.conf;
else SYSLOGCONF=/etc/rsyslog.conf;
fi
cat $SYSLOGCONF |sed ‘/^#/d‘|sed ‘/^$/d‘|awk ‘($2!~/*/) && ($2!~/-/) {print $1"\t"$2}‘
}
function Check_SYSLOGNG
{
SYSLOGCONF=/etc/syslog-ng/syslog-ng.conf
for FILTER in `cat $SYSLOGCONF |grep "^log"|grep filter|cut -d\; -f2|cut -d\( -f2|cut -d\) -f1|sort|uniq`;do
    cat $SYSLOGCONF|grep "^filter $FILTER"
done
for DESTINATION in `cat $SYSLOGCONF |grep "^log"|awk -F\; ‘{print $1"\n"$2"\n"$3}‘|grep destination|cut -d\( -f2|cut -d\) -f1|sort|uniq`;do
    cat $SYSLOGCONF|grep "^destination $DESTINATION "
done
cat $SYSLOGCONF |grep "^log"
}
if [[ `ps -ef|egrep ‘(syslogd|syslog-ng)‘|grep -v "grep"|wc -l` != 0 ]];
   then if [[ `grep -sv "^#" /etc/sysconfig/syslog|grep SYSLOG_DAEMON|cut -d\" -f2` = "syslog-ng" ]];
           then Check_SYSLOGNG;
           else Check_SYSLOGD;
        fi;
   else echo "syslog is not running";
fi
##检测特定系统自带的与设备运行、维护等工作无关的账号是否被删除或锁定##
echo ‘###检测特定系统自带的与设备运行、维护等工作无关的账号是否被删除或锁定###‘
egrep -w "Adm|lp|sync|shutdown|halt|news|uucp|operator|games" /etc/shadow |awk -F: ‘($2!~"!") {print $1":"$2}‘
echo "result="`egrep -w "Adm|lp|sync|shutdown|halt|news|uucp|operator|games" /etc/shadow |awk -F: ‘($2!~"!") {print $1":"$2}‘|wc -l`
##限制密码文件的访问权限##
echo ‘###限制密码文件的访问权限###‘
        ls -l /etc/passwd /etc/shadow /etc/group | awk ‘{print $1":"$7":"$9}‘
##检查root是否可以直接登录##
echo ‘###检查root是否可以直接登录###‘
SSHSTATUS=`netstat -an |grep ":22\>"|wc -l`
if [ x"$SSHSTATUS" != "x0" ];
then  if [[ `grep "^PermitRootLogin no" /etc/ssh/sshd_config|wc -l` != 0 ]];
      then  grep "^PermitRootLogin no" /etc/ssh/sshd_config;
            echo "This device does not permit root to ssh login,check result:true";
      else  echo "This device permits root  to ssh login,check result:false" ;
      fi
else  echo "The ssh service of device is not running,check result:true";
fi
TELSTATUS=`netstat -an |grep ":23\>"|wc -l`
if [ x"$TELSTATUS" != "x0" ];
then  if ([ -f /etc/securetty ] && [ `grep -i "^pts" /etc/securetty|wc -l` = 0  ]);
       then  echo "This device does not permit root to telnet login,check result:true";
       else  echo "This device permits root to telnet login,check result:false";
      fi
else  echo "The telnet service of device is not running,check result:true" ;
fi
##检查SSH安全配置##
echo ‘###检查SSH安全配置###‘
        grep Protocol /etc/ssh/sshd_config|grep -v ‘^#‘
##检查终端超时退出时间##
echo ‘###检查终端超时退出时间###‘
cat /etc/profile |sed ‘/^#/d‘|sed ‘/^$/d‘|grep -i TMOUT
cat /etc/csh.cshrc |sed ‘/^#/d‘|sed ‘/^$/d‘|grep -i autologout
##检查补丁更新情况##
echo ‘###检查补丁更新情况###‘
uname -a
if [ -f /etc/SuSE-release ];
    then cat /etc/SuSE-release;
       elif [ -f /etc/redhat-release ];
          then cat /etc/redhat-release;echo " redhat patch check result:true";
fi

时间： 2024-08-09 22:15:44

【信息安全系列】Linux主机安全检查的相关文章

【信息安全系列】RedHat Linux常用安全检查标准

一.系统服务类检查 1.检查项目:检查Linux主机是否开启了不必要的服务等: [检查要点] 明确不建议开启的服务列表.对需要特殊说明的服务,单独列出检查要求,如R系列服务.检查主机是否关闭SENDMAIL服务. [检查对象] RedHat Linux系统 [检查方法] 检查操作: 执行:chkconfig --list,建议禁止以下服务: shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth,Anan

linux主机规划与磁盘分区

各硬件设备在linux中的文件名在Linux系统中,每个设备都被当成一个文件来对待. 举例来说,IDE接口的硬盘的文件名即为/dev/hd[a-d],其中,括号内的字母a-d当中的任意一个,也既有/dev/had/,/dev/hda /dev/hdb /dev/hdc及/dev/hdd这四个文件的意思 Linux下几乎所有的硬件设备文件都在/dev/这个目录内,因此你会看到/dev/had,/dev/fd0 等的文件名设备

信息安全系列（5）-- 安全漏洞

俗话说,苍蝇不叮无缝的蛋. 针对这种现象有人解释:鸡蛋裂缝后很容易就会坏掉,产生异味.与苍蝇而言,异味的鸡蛋正式它的食粮,于是苍蝇就不请而至.万事万物,皆有因果,正如苍蝇和蛋的故事,信息安全中,因为信息系统存在着大大小小.或明或暗的安全漏洞,那些攻击者可都是一些嗅觉灵敏的"苍蝇",要防范攻击,则需要查找自身存在的漏洞.及时进行修补,才能够避免被"叮咬". 安全漏洞的实例案例1: 微软漏洞在上一篇中有介绍过震网事件,美国的病毒专家正是利用了Windows系统多个漏

Redhat系列linux系统安装，并使用xshell工具进行远程连接

实验项目:Redhat系列linux系统安装首先我们在VMwareWorkstation软件上进行安装.如图所示,选择创建,使用安装向导,选择自定义安装,点击下一步选择稍后安装操作系统客户机操作系统选择linux系统,版本选择Red Hat Enterprise linux 6 64 位给将要安装的虚拟机命名,并选择一个目录保存在此处理器选择一核(根据不同电脑配置可以自由选择处理器核心数)选择固定内存为2G大小(可以根据实际需要自行决定)网络类型选择仅主机模式磁盘容量指定40G把磁盘文件和创建的

阿里云linux主机安装启动Jenkins

1.安装网上查到的关于安装Jenkins的文章,都是需要先安装JDK和Tomcat,然后把war包丢进去运行.但是官方的介绍里面没有说要用Tomcat. 事实证明是不需要Tomcat的.而且Jenkins默认使用的也是8080端口,如果之前有启动默认配置的Tomcat,还需要先停掉. 我的服务器系统版本是CentOS 6.3,对应的说明是 Installing Jenkins on Red Hat Distributions 按照官方说明依次输入如下命令 #wget -O /etc/yum.r

阿里云linux主机安装jdk

1.首先要查看服务器的系统版本,是32位还是64位 uname -a Linux AY131105092932706327Z 2.6.32-358.6.2.el6.x86_64 #1 SMP Thu May 16 20:59:36 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux x86_64是64位,如果还不确定,可以再换个命令 getconf LONG_BIT 64 上面这个命令是查看CPU当前运行模式 2.下载64位版本的jdk jdk-7u67-linux-

Monitorix监控Linux主机图文详解

Monitorix监控Linux主机图文详解 Monitorix简介 Monitorix 是一款自由开源的轻巧型系统监视工具.使用 Monitorix你可以随时掌控 CPU 负载及温度.内存占用.活动进程.磁盘使用及温度.网络设备流量.网络服务等全方位的系统信息.Monitorix 需要 Apache Web 服务器来显示这些系统信息图表.所以它特别适合在 Linux 服务器上面使用. 下面是我安装的步骤 1.安装的环境和需要的rpm包我是在CentOS 6.4下面安装的CentOS 5可以使

剑指架构师系列-Linux下的调优

1.I/O调优 CentOS下的iostat命令输出如下: $iostat -d -k 1 2 # 查看TPS和吞吐量参数 -d 表示,显示设备(磁盘)使用状态:-k某些使用block为单位的列强制使用Kilobytes为单位:1 10表示,数据显示每隔1秒刷新一次,共显示2次. tps:该设备每秒的传输次数,也就是一次I/O请求.多个逻辑请求可能会被合并为"一次I/O请求"."一次传输"请求的大小是未知的. kB_read/s:每秒从设备读取的数据量:kB_wr

Linux主机上使用交叉编译移植u-boot到树莓派

0环境 Linux主机OS:Ubuntu14.04 64位,运行在wmware workstation 10虚拟机树莓派版本:raspberry pi 2 B型. 树莓派OS: Debian Jessie Raspbian Jessie 1树莓派的启动过程树莓派1,2,3的启动过程大致相同,主要分为3个阶段:ROM上的GPU bootloader启动GPU,GPU启动CPU,CPU直接启动内核或通过u-boot启动内核. 由于树莓派涉及到GPU的东西不开源,移植u-boot到树莓派并不是真正