热门标签
热门文章
- 1kafka 启动_Linux环境下安装部署zookeeper、kafka
- 2【浏览器系列】从输入网址(URL)到页面加载的全过程_浏览器输入url到页面加载全过程
- 3Agent AI智能体:未来社会的角色、发展路径与挑战_ai从肢体到社会地位
- 4Pytorch CIFAR10图像分类 VGG篇_vggnet网络代码进行cifar10数据集的图像分类
- 5【SD插件】轻松一键修复脸部变形-After Detailer
- 6hadoop大数据平台的构建_建立hadoop大数据平台
- 7transformers DataCollator介绍_datacollatorforseq2seq
- 8Key-value数据库_key-value数据库有哪些
- 9从事C#上位机开发,没前途_上位机开发有前途吗
- 10RabbitMQ Windows 安装_rabbitmqwindows安装
当前位置: article > 正文
Linux系统配置核查-【等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(Linux)_等保 s3a3(1)_linux 等保测评配置
作者:人工智能uu | 2024-08-12 09:50:03
赞
踩
linux 等保测评配置
cat /etc/pam.d/system-auth
cat /etc/pam.d/password-auth
cat /etc/pam.d/sshd
最多连续5次认证登录都出错时,600秒后解锁,root用户也可以被锁定,root用户600秒后解锁。
**添加位置要写在第一行,即#%PAM-1.0的下面。**
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
1.1 限制ssh登录失败处理功能 修改配置文件sshd文件: 在/etc/pam.d/sshd文件(注意添加位置,和pam.d模块判定方式有关): auth required pam\_tally2.so deny=5 unlock\_time=300 even\_deny\_root root\_unlock\_time=300 连续登录失败5次后,锁定该账户300S。立即生效,无需重启服务。 1.2 限制从终端(本地登录)的登录失败处理功能 修改system-auth文件: 在/etc/pam.d/system-auth文件下添加上述对应参数即可生效。 auth required pam\_tally2.so deny=5 unlock\_time=300 even\_deny\_root root\_unlock\_time=300  在SSH配置文件
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
cat /etc/ssh/sshd_config | grep MaxAuthTries
2、查看是否配置登录会话超时策略:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
cat /etc/profile
是否存在
- 1
- 2
- 3
- 4
- 5
export TMOUT=900
readonly TMOUT
或
echo $TIMEOUT
echo $TMOUT
 2.操作超时自动退出功能 2.1 全局配置TMOUT值 在/etc/profile文件下添加:TMOUT=600 对所有登录方式生效。 记得刷新 source /etc/profile (ps:对FTP登录方式无效) 一般应该是在/etc/profile这个文件中对所有用户进行设置,可能有极个别的会单独为每个用户配置超时时间。 所以直接查看/etc/profile文件内容,然后再用echo $TMOUT语句看看运行环境中的TMOUT变量到底是多少。 在SSH上配置
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
cat /etc/ssh/sshd_config | grep ClientAliveInterval
**结果记录**
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
1)经核查,配置并启用登录失败处理功能,查看登录失败处理功能相关参数,cat /etc/pam.d/system-auth 文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
”;
2)经核查,配置并启用了限制非法登录功能,所有用户登录失败5次锁定600秒;
3)经核查,配置并启用登录连接超时及自动退出功能,本地登录超时时间900秒,远程登录超时时间300秒。
**c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。**
****符合建议项****
检查远程管理方式
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
ps -ef | grep ssh
ps -ef | grep telnet
netstat -tuanp 先查看端口情况,看到不对劲的,立马去看看是不是开了telnet netstat -tlnp | grep ssh 查看远程管理是否使用SSH方式进行远程管理。  ****结果记录**** 经核查,用户通过堡垒机输入账号密码通过SSH协议远程登录服务器,可以防止鉴别信息在网络传输过程中被窃听。 **d)应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。** ********符合建议项********    **结果记录** 经核查,用户在登录操作系统的过程中只使用了口令鉴别技术,未采用动态口令、数字证书、生物技术或设备指纹等鉴别技术对用户身份进行鉴别。 ## **访问控制**         **应用指南**       **a)应对登录的用户分配账户和权限。** ******符合建议项****** **创建用户,三权分立** cat /etc/passwd 查看目前存在哪些帐户,询问管理员,是否启用访问控制功能,是否依据安全策略控制用户对资源的访问。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
ls -l /etc/passwd /etc/shadow /etc/sudoers /etc/group /etc/gshadow /etc/profile /etc/crontab /etc/securetty /etc/ssh/ssh_config /etc/ssh/sshd_config
 一、确定当前账户情况 通过查看/etc/passwd、/etc/shadow、/etc/group文件,查看可登录的普通账户有哪些,以及用户组的情况。 1.通过文件来判断: 1.1 /etc/passwd文件:  通过该文件,判断出哪些是普通用户(UID>1000,该设置值在login.defs文件中)、系统用户(UID<1000)和超级用户(UID=0)。 再判断哪些用户不可登录,如shell字段为/sbin/nologin、/bin/false的就不可登录。 **通过id命令查看,用法:id [user]** 包含用户id,用户组id,附加组id,若不指定用户,则默认显示当前用户基本信息 1.2 /etc/shadow文件:  用户第二字段为\*或!!为锁定状态,不允许登录。 **结果记录** 1)经核查,为用户分配了账户和权限,目前系统内账号包括超级管理员root、系统管理员SysAdmin、安全管理员SecAdmin、审计管理员AudAdmin; 2)经核查,不存在匿名,默认用户只允许超级管理员可以登录。/etc/group权限644,/etc/passwd权限为644,/etc/shadow权限为000,/etc/profile权限为644,/etc/crontab权限为644,/etc/ssh/sshd\_config权限为400。 **b) 应重命名或删除默认账户,修改默认账户的默认口令。** ********符合建议项********
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
cat /etc/passwd
cat /etc/shadow
记录没有被禁用的系统默认的用户名 bin、daemon、shutdown、halt、sync、adm、lp、news、uucp、operator、games、gopher 删除多余用户 删除多余用户组 groupdel groupname:adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers **正常情况下Linux默认账户除了root都被禁止登录了,所以我们正常考虑的话就考虑root账户。限制默认账户的方式有很多种,譬如重命名、禁用、降低权限、限制远程访问等等。针对Linux系统,一般不会去重命名或者禁用root,用的比较多的就是限制root账户远程登录。** 2、查看远程连接是否 PermitRootLogin no
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
cat /etc/ssh/sshd_config | grep Root
确认 /etc/ssh/sshd\_config 中 PermitRootLogin 参数配置 PermitRootLogin,yes代表允许root远程ssh登录,no代表禁止ssh远程登录
核查
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
/etc/ssh/sshd_config
- 1
- 2
cat /etc/ssh/sshd_config
cat /etc/ssh/sshd_config | grep Root
PermitRootLogin no
 ********结果记录******** 经核查,其他默认用户均已禁用,默认账户超级管理员root的默认口令已修改。查询配置文件/etc/ssh/sshd\_config,SSH 远程管理 PermitRootLogin 状态为no,禁止root用户远程登录。 **注意** 需要重命名root或者禁用删除,但依据 28448-2019,1、2为或的关系,满足一个就给符合  **c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在。** **********符合建议项********** 确认管理人员与账户之间的对应关系,确认是否存在多人共用统一账户的情况存在。 **********结果记录********** 经核查,系统目前只启用root、SysAdmin、SecAdmin、AudAdmin,不存在多余或过期账户,管理员用户与账户之间是否一一对应。 **d)应授予管理用户所需的最小权限,实现管理用户的权限分离。** ************符合建议项************ 具有最少4个账户(包括一个超管权限账户root),然后对应到人 ● 三权分立原则 至少建立系统管理员、安全管理员、审计管理员三种权限帐号。 个人认为,不使用root超级管理员账户,该账户的管理权限应掌握在安全管理员手中,仅上线前用于环境部署工作。 可以参考能力验证给出的权限表  **1. 系统管理员** 用于管理整个系统,可在 /etc/sudoer 中授予各式各样的权限,但无审计管理的权限,不可中断审计进程及修改审计配置等,且不可威胁到root用户。可授予新增操作员、修改对应文件、服务等的一些操作管理。 例如仅可修改普通用户口令,不可修改root账户口令 **2. 安全管理员** 负责各类安全策略的制定与落实。包括不限于服务器口令安全策略、备份安全策略、审计安全策略、账户安全策略、防病毒策略、运维安全策略等等。例如: ⚫ 各类设备应划分系统管理员、安全管理员和审计管理员,此外数据库服务器应创建数据库管理员账号; ⚫ 应为每个用户创建账号并分配权限, 禁止出现共享账号。及时停用离职人员账号,避免出现多余账户; ⚫ 用户账户权限分配遵从“最小化”和“必须使用”原则,离岗人员的权限需收回; ⚫ 各类设备应仅允许审计管理员能够查询审计日志,管理日志策略、日志文件和日志进程; ⚫ 配置超时登录机制,登录用户无操作自动退出系统。其中, 关键资产阈值 15分钟, 重要资产阈值 30 分钟, 一般资产阈值 60 分钟。 **3. 审计管理员** 负责对系统审计日志方面的管理。 例如具有sudo systemctl audit(rsyslog)等进程的管理权限。 对于auidt,syslog轮替规则、审计规则具有配置权限等。 **4.操作员** 普通权限账户,用于正常的工作,无其他用途。 **结果记录** 1)经核查,系统进行角色划分,分为超级管理员、系统管理员、安全管理员、审计管理员; 2)经核查,管理用户的权限已经进行分离; 3)经核查,管理用户权限为其工作任务所需的最小权限。 **e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。** **要求解读** 操作系统的访问控制策略应由授权主体(例如安全管理员)进行配置,非授权主体不得更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源(例如文件和目录)具有哪些权限、能进行哪些操作。通过在操作系统中配置访问控制策略,可以实现对操作系统各用户权限的限制。 ****结果记录**** 1)经核查,系统由授权主体安全管理员SecAdmin负责配置访问控制策略; 2)经核查,授权主体安全管理员SecAdmin依据安全策略配置了主体对客体的访问规则并统一管理; 3)经测试,系统管理员SysAdmin和审计管理员AudAdmin不可越权访问。 **f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。** **************符合建议项************** 依据能力验证官方给出的结果记录描述,该条对于操作系统自主访问控制基本默认符合。 主体为用户级,客体为文件、目录级别。 **结果记录**
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
经核查,访问控制策略的控制粒度达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。查看cat /etc/login.defs中的Umask为077。
**g)应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。** **要求解读** 敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由强认证的安全管理员设置。安全管理员通过对重要信息资源设置敏感标记来决定主体以何种权限对客体进行操作,实现强制访问控制。 在操作系统能够对信息资源设置敏感标记的前提下,应严格按照安全策略控制用户对相关资源的操作。 这条应该是作为做等保人员比较难测评的一条条款了,其实做了这么久,也不太明白真实符合的情况是什么样的,因为客户基本不可能会去自己配置。初级书中叫我们去查看 /etc/selinux/config 这个文件,这里可以使用 sestatus 命令查看,确认状态为 enabled,再确认具体的工作模式   **结果记录** 经核查,系统未对主体、客体设置安全标记。 ## **安全审计** **基本要求**  **测评要求**     **应用指南**       **a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。** ****************符合建议项**************** 1、检查系统是否开启审计功能:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
systemctl is-enabled auditd
Syslog and audit status
systemctl status auditd
systemctl status rsyslog
service auditd status
service rsyslog status
2、是否审核了审计功能启用前的进程:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
grep “^\s*linux” /boot/grub2/grub.cfg
3、查看audit.rules中是否记录了修改日期和时间信息的事件(time-change)、修改用户/组信息事件(identity)、修改系统网络环境事件(system-locale)、记录用户登录退出事件(logins)、会话初始化信息(session)、访问控制权限修改事件(perm\_mod)、未经授权的文件访问失败事件(access)、记录文件被重命名或修改属性、系统管理员操作(action)、内核模块的加载和卸载(modules)等等。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
cat /etc/audit/audit.rules
 ausearch -ts today  4、若有第三方审计工具或系统则记录其运行状态是否正常。 /var/log/messages 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 与安全相关的日志信息 /var/log/maillog 与邮件相关的日志信息 /var/log/cron 与定时任务相关的日志信息 /var/log/spooler 与UUCP和news设备相关的日志信息 /var/log/boot.log 守护进程启动和停止相关的日志消息
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
ls -l /var/log/secure /var/log/audit/audit.log /var/log/cron /var/log/lastlog /var/log/messages /etc/rsyslog.conf /etc/audit/auditd.conf
 **结果记录** 1)经核查,系统开启了安全审计功能,系统审核策略:rsyslog.service和auditd.service均为active (running) ,可保证6个月留存期; 2)经核查,部署了外部Syslog日志服务器收集审计日志,审计范围覆盖到每个用户; 3)经核查,部署了外部Syslog日志服务器收集审计日志,对重要的用户行为和重要安全事件进行审计。 **b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。** **符合建议项** **1. 查看当前系统时间:**date 确认当前系统时间是否为北京时间。 **2. 查看日志信息(默认符合)**
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
ausearch -i |more
 在/var/log/目录下的文件中查看即可,如message日志  **结果记录** 经核查,Linux日志包括类型、信息、pid、uid、auid、ses、具体信息、用户名、地址、终端、结果。同时部署外部Syslog日志服务器收集审计日志,审计记录信息包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 **c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。** **1.确认本地审计记录文件权限** 日志文件权限不高于644   **2.是否定期备份** 确认是否将syslog、audit日志定期备份到日志审计设备中(可以问业主如果没做外发有无设置日志定期保存到别的地方,如果是初测一般都没做) **3.查看轮替规则** 若未定期备份审计记录,确认各日志的轮替规则 syslog配置文件 /etc/logrotate.conf
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
weekly #每周清理一次日志文件
rotate 4 #保存四个轮换日志
create #清除旧日志的同时,创建新的空日志文件
dateext #使用日期为后缀的回滚文件 #可以去var/log目录下看看
include /etc/logrotate.d #包含/etc/logrotate.d目录下的所有配置文件
**结果记录** 1)经核查,采取了保护措施对审计记录进行保护,日志数据本地保存,覆盖周期不小于6个月; 2)经核查,部署了外部Syslog日志服务器收集审计日志,对审计记录进行定期备份,每6个月打包一次审计记录。 **d) 应对审计进程进行保护,防止未经授权的中断。** ******符合建议项****** **1. 判断哪些用户可以对审计进程进行操作** 默认情况下,仅root权限账户可中断审计进程 查看sudo文件配置情况:cat /etc/sudoers,若存在以下配置,则能中断审计进程  **结果记录** 经核查,通过系统管理员SysAdmin和安全管理员SecAdmin无法中断审计进程。同时部署了外部Syslog日志服务器收集审计日志,对审计记录进行定期备份,每6个月打包一次审计记录。 ## **入侵防范** **基本要求**  **测评要求**     **应用指南**      **a) 应遵循最小安装的原则,仅安装需要的组件和应用程序。** ********符合建议项******** 查询linux中安装的程序,一般使用yum list installed 或者rpm -qa,关键是linux中随随便便都安装得有几百个组件,而且很多组件都是存在着依赖关系。你很难或者至少很难快速的判断某组件到底是必需的还是非必需的,而被测评单位方的人也一样,他也不可能知道。 感觉从上述命令中非常难下手,稍微明显一些的,可以查看开机自启服务
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
systemctl list-unit-files | grep enabled
有些可能明显用不到的,比如web应用服务器上留有当时测试的mysql 程序,后续项目更新升级后使用数据库服务器,而原先的就忘了卸载删除。以及一些明显有问题的服务,例如 telnet。  1.查看是否启用多余的inetd.Services服务: chkconfig --list 
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
Chargen services、daytime services、Discard wervices、Echo services、Time services
以上服务均为Debug和测试时使用。
- 1
- 2
- 3
- 4
- 5
systemctl | grep running
是否对安全隐患的漏洞进行补丁修补或指定补丁策略。
2.查看已安装组件和应用程序
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
yum list installed
 **结果记录** 1)经核查,服务器遵循最小安装原则; 2)经核查,服务器未安装非必要的组件和应用程序。 **b) 应关闭不需要的系统服务、默认共享和高危端口。** **1. 服务** 对于组件、服务、进程、端口而言,它们之间是存在着关系的:安装程序-->启动相关服务-->启动相关进程-->监听相关端口。而且,一个程序(组件)可能有数个服务,而一个服务也可能实际启动了数个进程,当然一个进程应该就对应一个端口。 ● Centos 6.x使用 service --status-all 来查看服务 ● Centos 7.x 使用 systemctl 命令来查看服务 可以根据类型列出单元 systemctl list-units --type service 估计也看不太懂,具体哪些服务是多余的,看到有明显不符合的,例如telnet 之类的就给不符合吧 **2. 端口** 使用命令:netstat -tuanp 查看系统中监听的端口以及对应的进程,进行判断哪些是多余的服务、端口,一般默认装机完毕25、111为多余端口,对应的服务也就是多余的。 **3. 共享情况** Linux 默认共享是没有的,但是可以安装对应的共享服务 **********符合建议项********** 1、检查:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
systemctl -a
查看
CUPS、Rsh services、Talk、Telnet、tftp、、IMAP、POP3、SNMP、DHCP、rsync、NIS
等等服务应该关闭。
2.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
systemctl | grep running
ss -ntlp
ss -ntlpu
查看是否开启端口:
- 1
- 2
- 3
- 4
- 5
21、23
-
Telnet服务(默认端口23):telnet是一个不安全的网络协议,会以明文形式传输用户名和密码。建议关闭telnet服务,使用更安全的SSH服务。
-
FTP服务(默认端口21):FTP也是一个不安全的协议,密码以明文形式传输。建议关闭FTP服务,并使用更安全的SCP或SFTP替代。
数据库端口是否修改默认端口号:
- 1
- 2
- 3
- 4
- 5
1433、1521、3306、6379、5432、27017
等等。 ### 如何自学黑客&网络安全 #### 黑客零基础入门学习路线&规划 **初级黑客** **1、网络安全理论知识(2天)** ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要) **2、渗透测试基础(一周)** ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等 **3、操作系统基础(一周)** ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全(系统入侵排查/系统加固基础) **4、计算机网络基础(一周)** ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析(HTTP、TCP/IP、ARP等) ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现 **5、数据库基础操作(2天)** ①数据库基础 ②SQL语言基础 ③数据库安全加固 **6、Web渗透(1周)** ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等) 恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k 到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗? 如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取! **7、脚本编程(初级/中级/高级)** 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力. 如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。 **8、超级黑客** 这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。  #### 网络安全工程师企业级学习路线  如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的 视频配套资料&国内外网安书籍、文档&工具 当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。  一些笔者自己买的、其他平台白嫖不到的视频教程。  **网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。** **[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)** **一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/人工智能uu/article/detail/968961
推荐阅读
相关标签
