热门标签
热门文章
- 1STM32F429之使用FPU和DSP_stm32f429使用fpu
- 2拼多多今年的校招薪资。。。_拼多多校招薪资
- 3[字符串操作]删除单词后缀
- 4超详细使用VirtualBox安装虚拟机
- 5快速排序C++实现
- 6NLP_文本去重_附Python实现【MinHash和MinHashLSH】算法
- 7基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系。 根据验证过程,远程证书无效---------------解决方法
- 8基于Flink CDC实时同步数据(MySQL到MySQL)_flinkcdc mysql同步
- 9Github网络安全测试工具库_github漏洞扫描器项目
- 10给新人程序员的 10 点建议
当前位置: article > 正文
Linux服务器--基线检查_基线检查工具
作者:小丑西瓜9 | 2024-04-13 13:51:11
赞
踩
基线检查工具
一、前言
基线检查——安全基线配置核查(或检查)的简称,指为满足网络安全规范要求,服务器设备安全配置必需达到的最低安全标准,例如服务器上的账号、口令、日志、认证授权合规性配置等。
1、为什么要进行基线检查?
评估企业或组织的当前服务器安全状态,以发现薄弱或未满足要求的配置、是否存在漏洞和隐患。防止攻击者恶意攻击或访问。
linux中几个比较重要的文件:
/etc/passwd --- 记录了系统中各用户的一些基本属性,root可写,所有用户可读
/etc/shadow --- 记录了所有用户的密码
/etc/group --- 记录了用户组属性
/etc/login.defs --- 密码策略文件
/etc/pam.d/system-auth --- 密码强度
- 1
- 2
- 3
- 4
- 5
2、关于等保2.0
2019年12月1日网络安全等级保护2.0国家标准的正式实施,等级保护进入2.0时代。
2017年,勒索病毒“WannaCry”肆虐全球,我们在断网、打补丁、关端口、杀病毒的同时,有没有想到些什么?《网络安全法》施行在际,这样一个事件一下子挑动起大家的神经,让我们突然意识到,那个没有硝烟的战场一直在我们身边,从未远去。
在一个翅膀抖动都可能带来龙卷风的世界,我们需要不断提高风暴来临前的洞察和感知能力,我们的专家、研究机构、安全企业以及整个产业界一直在这条道路上努力,但同时,我们是否也应意识到,对于网络安全这件事儿,我们比任何时候都需要来自国家的力量。
——摘抄自《网络安全等级保护网》
3、基线检查范围
基线检查主要有四个方面:账号安全、认证授权、协议安全、审计安全。
1、用户账号 ---唯一身份。
2、统一认证 ---你是谁。
3、授权管理 ---你有什么权限。
4、操作审计 ---你可以干什么。
- 1
- 2
- 3
- 4
本文从以下(口令策略…其他配置)七个方面进行介绍各项基线检查点,相应的判定依据、及加固方案。
二、口令策略
2.1 检查项—密码策略
判定依据:
##### 检测方法-----1 ##### 查看/etc/pam.d/system-auth文件, #cat /etc/pam.d/system-auth 是否存在以下配置: password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1 判定依据 以上条件满足则合规;否则不合规。 ##### 检测方法(脚本)-----2 ##### if [ -f /etc/pam.d/system-auth ];then cat /etc/pam.d/system-auth|grep -v "^[[:space:]]*#"|egrep "password[[:space:]]+requisite[[:space:]]+pam_cracklib.so" i=1 for parameter in minlen dcredit ucredit lcredit ocredit do echo $parameter if [[ -n `cat /etc/pam.d/system-auth|grep -v "^[[:space:]]*#"|egrep "password[[:space:]]+requisite[[:space:]]+pam_cracklib.so"|grep "$parameter"` ]];then echo "result$i="`cat /etc/pam.d/system-auth 2>/dev/null|grep -v "^[[:space:]]*#"|egrep "password[[:space:]]+requisite[[:space:]]+pam_cracklib.so"|head -n1|awk -F"$parameter=" '{print$2}'|awk '{print$1}'` else echo "result$i=不合规" fi i=`expr $i + 1` done unset parameter else echo "result=The /etc/pam.d/system-auth file not found" fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
返回结果:
检查点:
检查点[1]:密码长度最小值 实际值: Parameters are not configured 运算符:大于等于 标准值: 8 检查点[2]:新密码中至少包含多少位数字 实际值: Parameters are not configured 运算符:等于 标准值: -4 检查点[3]:新密码中至少包含多少位大写字母 实际值: Parameters are not configured 运算符:等于 标准值: -2 检查点[4]:新密码中至少包含多少位小写字母 实际值: Parameters are not configured 运算符:等于 标准值: -1 检查点[5]:新密码中至少包含多少位特殊字符 实际值: Parameters are not configured 运算符:等于 标准值: -1
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
加固方案:
#####参考配置操作 1、执行备份 # cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak 2、编辑/etc/pam.d/system-auth # vi /etc/pam.d/system-auth #####添加内容: password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1 wq保存退出 #####说明: minlen=N 新密码的最小长度 dcredit=N 当N>0时表示新密码中数字出现的最多次数;当N<0时表示新密码中数字出现最少次数。 ucredit=N 当N>0时表示新密码中大写字母出现的最多次数;当N<0时表示新密码中大写字母出现最少次数。 lcredit=N 当N>0时表示新密码中小写字母出现的最多次数;当N<0时表示新密码中小写字母出现最少次数。 ocredit=N 当N>0时表示新密码中特殊字符出现的最多次数;当N<0时表示新密码中特殊字符出现最少次数。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
2.2 检查项—密码生存期
判定依据:
##### 检测方法-----1 #####
查看文件/etc/login.defs
#cat /etc/login.defs
检查以下参数值是否满足要求:
PASS_MIN_DAYS >=1
PASS_MAX_DAYS <=180
PASS_MIN_LEN >=8
PASS_WARN_AGE =28
##### 检测方法(脚本)-----2 #####
cat /etc/login.defs 2>/dev/null|egrep -v "^[[:space:]]*#|^$"|egrep -w "PASS_MAX_DAYS|PASS_MIN_DAYS|PASS_MIN_LEN|PASS_WARN_AGE"
判定依据
以上条件满足则合规;否则不合规。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
返回结果:
检查点:
检查点[1]:密码最短生存期(天) 实际值: 6 运算符:大于等于 标准值: 1 检查点[2]:密码最长生存期(天) 实际值: 90 运算符:小于等于 标准值: 180 检查点[3]:密码长度最小值(对root无效) 实际值: 8 运算符:大于等于 标准值: 8 检查点[4]:密码生存期到期前提醒(天) 实际值: 30 运算符:等于 标准值: 28
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
加固方案:
参考配置操作
1、执行备份
#cp /etc/login.defs /etc/login.defs.bak
2、编辑/etc/login.defs文件
#vi /etc/login.defs
添加内容(存在则修改):
PASS_MIN_DAYS >=1 #新建用户的密码最短使用天数为大于等于1的数字
PASS_MAX_DAYS <=180 #新建用户的密码最长使用天数为小于等于180的数字
PASS_MIN_LEN >=8 #新建用户的密码最小长度为大于等于8的数字
PASS_WARN_AGE 28 #密码生存期到期前28天提醒
wq保存退出
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
2.3 检查项—检查密码生存期是否作用于每个用户
判定依据:
##### 检测方法-----1 ##### 1、查看/etc/shadow文件 #cat /etc/shadow 检查各个用户的第四字段(口令最短修改时间 PASS_MIN_DAYS 1)是否为1,第五字段(口令最长修改时间 PASS_MAX_DAYS 180)是否为180。 判定依据 各个用户的第四字段为1且第五字段为180则合规;否则不合规。 ##### 检测方法(脚本)-----2 ##### cat /etc/passwd 2>/dev/null| awk -F: '{print$1}'|while read username do if [[ -z `cat /etc/passwd 2>/dev/null|grep -v "^[[:space:]]*#"|awk -F":" '{if($7~"nologin")print$1}'|grep -w $username` ]];then if [[ -n `cat /etc/passwd 2>/dev/null|grep -v "^[[:space:]]*#"|awk -F":" '{if($2=="x")print$1}'|grep -w $username` ]];then if [[ -z `cat /etc/shadow 2>/dev/null|grep -v "^[[:space:]]*#"|grep -w $username|awk -F":" '{print$2}'|cut -b 1|awk '{if($1=="!"||$1=="*")print}'` ]];then if [[ -z `cat /etc/shadow 2>/dev/null|grep -v "^[[:space:]]*#"|grep -w $username|awk -F":" '{print$2}'|cut -b 1-2|awk '{if($1=="!!")print}'` ]];then echo The $username user is normal if [[ -n `cat /etc/shadow 2>/dev/null|grep -w "$username"|awk -F":" '{print$4}'` ]];then PASS_MIN_DAYS=`cat /etc/shadow 2>/dev/null|grep -w "$username"|awk -F":" '{print$4}'` else PASS_MIN_DAYS=null fi if [[ -n `cat /etc/shadow 2>/dev/null|grep -w "$username"|awk -F":" '{print$5}'` ]];then PASS_MAX_DAYS=`cat /etc/shadow 2>/dev/null|grep -w "$username"|awk -F":" '{print$5}'` else PASS_MAX_DAYS=null fi echo "USER_NAME=$username" "PASS_MIN_DAYS=$PASS_MIN_DAYS" "PASS_MAX_DAYS=$PASS_MAX_DAYS" unset username PASS_MIN_DAYS PASS_MAX_DAYS else echo "The $username user has been disabled" fi else echo "The $username user has been disabled" fi else echo "The $username user has been disabled" fi else echo "The $username user has been disabled" fi done
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
返回结果:
/etc/shadow 内容详解:
文件中每行代表一个用户,同样使用 “:” 作为分隔符,不同之处在于,每行用户信息被划分为 9 个字段。
每个字段的含义如下:
用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段
检查点:
检查点[1]:用户当前密码最短生存期 实际值: 0 0 180 运算符:大于等于 标准值: 1 检查点[2]:用户当前密码最长生存期 实际值: 99999 99999 90 运算符:小于等于 标准值: 180
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
加固方案:
参考配置操作
1、执行备份
#cp /etc/shadow /etc/shadow.bak
2、使密码策略作用于相应用户:
#chage 用户(例如#chage root)
- 1
- 2
- 3
- 4
- 5
三、账号管理
3.1 检查项—禁止存在UID相同的用户
判定依据:
##### 检测方法-----1 #####
1、查看是否有重复的uid
#cat /etc/passwd |awk -F: '{print $1,$3}'|sort -t ' ' -k 2n|uniq -f1 -D
判定依据
没有返回重复uid的用户则合规;否则不合规。
##### 检测方法(脚本)-----2 #####
#echo "result="`cat /etc/passwd|awk -F: '{print $1,$3}'|sort -t ' ' -k 2n|uniq -f1 -D|wc -l`
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
返回结果:
检查点:
检查点:UID相同的用户数
实际值:
0
运算符:等于
标准值:
0
- 1
- 2
- 3
- 4
- 5
- 6
加固方案:
参考配置操作(实际值不等于0情况)
1、修改用户uid
#usermod -u 【uid】 【username】
- 1
- 2
- 3
3.1 检查项—禁止存在空密码的帐户
判定依据:
##### 检测方法-----1 #####
执行以下命令查看系统中是否存在空口令账号
#awk -F: '( $2 == "" ) { print $1 }' /etc/shadow
判定依据
系统中口令为空的账号个数为0则合规,否则不合规。
##### 检测方法(脚本)-----2 #####
# echo "result="`awk -F: '( $2 == "" ) { print $1 }' /etc/shadow |wc -l`
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
返回结果:
检查点:
检查点:空口令账号个数。
实际值:
0
运算符:等于
标准值:
0
- 1
- 2
- 3
- 4
- 5
- 6
加固方案:
参考配置操作(实际值不等于0情况)
1、执行备份:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
2、为帐户设置满足密码复杂度的密码:
#passwd username
- 1
- 2
- 3
- 4
- 5
- 6
四、认证授权
4.1 检查项—登陆失败处理
判定依据:
##### 检测方法-----1 ##### 检测方法 1、检查pam_tally版本 #find / -name pam_tally*.so 如果只显示 pam_tally.so 则查看 /etc/pam.d/system-auth 文件检查deny配置: #cat /etc/pam.d/system-auth auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=5 no_magic_root reset 如果只显示 pam_tally2.so 则查看 /etc/pam.d/system-auth 文件检查deny配置: #cat /etc/pam.d/system-auth auth required pam_tally2.so deny=5 even_deny_root_account audit 2、查看/etc/login.defs文件,检查LOGIN_RETRIES和LOGIN_TIMEOUT配置: #cat /etc/login.defs LOGIN_RETRIES 5 LOGIN_TIMEOUT 60 判定依据 1、/etc/pam.d/system-auth文件配置:deny=5 2、/etc/login.defs文件配置:LOGIN_RETRIES 5 3、/etc/login.defs文件配置:LOGIN_TIMEOUT 60 条件1满足或条件2和条件3同时满足则合规;否则不合规。 ##### 检测方法(脚本)-----2 ##### if [[ -n `ls /lib*/security/pam_tally.so 2>/dev/null` ]];then cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally.so"|grep -v "\s*#" if [[ -n `cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally.so"|grep -v "\s*#"|head -n1|egrep "deny=\w+"` ]];then echo "result1="`cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally.so"|grep -v "\s*#"|head -n1|awk -F"deny=" '{print$2}'|awk '{print$1}'` else echo "result1=No configuration" fi if [[ -n `cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally.so"|grep -v "\s*#"|head -n1|egrep "even_deny_root_account|even_deny_root"` ]];then echo "result2=yes" else echo "result2=no" fi elif [[ -n `ls /lib*/security/pam_tally2.so 2>/dev/null` ]];then cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally2.so"|grep -v "\s*#" if [[ -n `cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally2.so"|grep -v "\s*#"|head -n1|egrep "deny=\w+"` ]];then echo "result1="`cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally2.so"|grep -v "^\s*#"|head -n1|awk -F"deny=" '{print$2}'|awk '{print$1}'` else echo "result1=No configuration" fi if [[ -n `cat /etc/pam.d/system-auth 2>/dev/null|egrep "auth[[:space:]]*required[[:space:]]*\S*pam_tally2.so"|grep -v "\s*#"|head -n1|egrep "even_deny_root_account|even_deny_root"` ]];then echo "result2=yes" else echo "result2=no" fi else echo "result=pam_tally not found" fi if [[ -n `cat /etc/login.defs|grep -v "^[[:space:]]*#"|grep -w LOGIN_RETRIES` ]];then echo "result3="`cat /etc/login.defs|grep -v "^[[:space:]]*#"|grep -w LOGIN_RETRIES|awk '{print$2}'` else echo "result3=No configuration" fi if [[ -n `cat /etc/login.defs|grep -v "^[[:space:]]*#"|grep -w LOGIN_TIMEOUT` ]];then echo "result4="`cat /etc/login.defs|grep -v "^[[:space:]]*#"|grep -w LOGIN_TIMEOUT|awk '{print$2}'` else echo "result4=No configuration" fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
返回结果:
检查点:
检查点[1]:连续登录失败次数 实际值: No configuration 运算符:小于等于 标准值: 5 检查点[2]:LOGIN_RETRIES 实际值: No configuration 运算符:等于 标准值: 5 检查点[3]:LOGIN_TIMEOUT 实际值: No configuration 运算符:等于 标准值: 60
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
加固方案:
参考配置操作 1、检查pam_tally版本 #find / -name pam_tally*.so 如果只显示 pam_tally.so 则编辑 /etc/pam.d/system-auth 文件,添加以下类似配置: #vi /etc/pam.d/system-auth auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=5 no_magic_root reset 保存退出 如果只显示 pam_tally2.so 则编辑 /etc/pam.d/system-auth 文件,添加以下类似配置: #vi /etc/pam.d/system-auth auth required pam_tally2.so deny=5 unlock_time=180 even_deny_root audit 保存退出 2、执行备份 #cp /etc/login.defs /etc/login.defs.bak 编辑 /etc/login.defs 文件 #vi /etc/login.defs 添加以下类似配置: LOGIN_RETRIES 5 LOGIN_TIMEOUT 60 保存退出
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
五、文件权限
5.1 检查项—检查相关日志文件权限
判定依据:
##### 检测方法-----1 ##### 1、查看日志配置 Redhat/Centos 5默认进程为syslog #cat /etc/syslog.conf Redhat/Centos 6/7默认日志进程为rsyslog #cat /etc/rsyslog.conf 2、查看日志文件权限,例如: #ls -l /var/log/messages 判定依据 日志文件other用户没有写权限则合规;否则不合规。 ##### 检测方法(脚本)-----2 ##### if [[ -n `ps -ef|egrep -w "syslogd|rsyslogd"|grep -v grep` ]];then echo "result=Log service is running" function venus (){ if [ -f $1 ];then for Log_File in `cat $1|grep -v "^[[:space:]]*#"|egrep "^[^\$]"|grep "/"|awk '{print$2}'|sed 's/^-//g'` do if [ -f $Log_File ];then ls -l $Log_File echo "result1="`ls -l $Log_File|egrep "^-[r-][w-][x-][r-][w-]-[r-]w-"|wc -l` else echo "The $Log_File file not found" fi done unset Log_File else echo "The $1 file not found" fi } Log_Type=`ps -ef|egrep -w "syslogd|rsyslogd"|grep -v grep|awk '{print$8}'|awk -F"/" '{for(i=1;i<=NF;i++)if($i~/syslog/)print$i}'` echo "Log_Type=$Log_Type" case $Log_Type in syslogd) Log_Conf="/etc/syslog.conf" venus "$Log_Conf" ;; rsyslogd) Log_Conf="/etc/rsyslog.conf" venus "$Log_Conf" ;; *) echo "The Log_Type not found" ;; esac unset Log_Type Log_Conf else echo "result=Log service not running" ls -l $(find /var/log/ -type f) echo "result1="`ls -l $(find /var/log/ -type f)|egrep "^-[r-][w-][-x][r-][w-]-[r-]w-"|wc -l` fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
检查点:
检查点:检查other用户是否具备写权限:0代表不具备即合规,1代表具备即不合规。
实际值:
0
0
0
0
0
0
0
运算符:等于
标准值:
0
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
返回结果:
加固方案:
参考配置操作(与标准值:0不符合时)
1、更改日志文件权限
#chmod 640 [LogFile]
如:
- 1
- 2
- 3
- 4
- 5
5.2 检查项—日志配置文件权限
常见的权限表示形式有:
-rw------- (600) 只有拥有者有读写权限。
-rw-r–r-- (644) 只有拥有者有读写权限;而属组用户和其他用户只有读权限。
-rwx------ (700) 只有拥有者有读、写、执行权限。
-rwxr-xr-x (755) 拥有者有读、写、执行权限;而属组用户和其他用户只有读、执行权限。
-rwx–x--x (711) 拥有者有读、写、执行权限;而属组用户和其他用户只有执行权限。
-rw-rw-rw- (666) 所有用户都有文件读、写权限。
-rwxrwxrwx (777) 所有用户都有读、写、执行权限。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
判定依据:
##### 检测方法-----1 ##### 查看日志配置文件权限 #ls -l /etc/syslog.conf(syslog) #ls -l /etc/rsyslog.conf(rsyslog) 判定依据 配置文件权限低于644则合规;否则不合规。 ##### 检测方法(脚本)-----2 ##### if [[ -f /etc/rsyslog.conf ]];then ls -l /etc/rsyslog.conf echo "result="`ls -l /etc/rsyslog.conf|awk '{print$1}'|sed "s/\.//g"|cut -b 2-|egrep -v "[r-][w-]-[r-]--[r-]--"|wc -l` elif [[ -f /etc/syslog.conf ]];then ls -l /etc/syslog.conf echo "result="`ls -l /etc/syslog.conf|awk '{print$1}'|sed "s/\.//g"|cut -b 2-|egrep -v "[r-][w-]-[r-]--[r-]--"|wc -l` else echo "The rsyslog.conf file not found" fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
检查点:
检查点:查看/etc/rsyslog.conf文件权限是否低于644(0合规,1不合规)
实际值:
0
运算符:等于
标准值:
0
- 1
- 2
- 3
- 4
- 5
- 6
返回结果:
加固方案:
参考配置操作(实际值与标准值不符合时)
更改配置文件权限
#chmod 644 /etc/syslog.conf
#chmod 644 /etc/rsyslog.conf
- 1
- 2
- 3
- 4
5.3 检查项—禁止共享文件和目录
判定依据:
##### 检测方法-----1 #####
1、查看NFS服务是否开启
#ps -ef|grep nfs
2、如果NFS服务开启,查看是否配置共享文件和目录
#exportfs
#cat /etc/exports
判定依据
1、NFS服务关闭
2、NFS服务开启,但没有发现共享文件和目录
1和2满足其一则合规;否则不合规。
##### 检测方法(脚本)-----2 #####
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
检查点:
检查点:检查是否共享文件和目录
实际值:
Discovering Shared Content
运算符:存在
标准值:
No sharing was found
nfs not running
- 1
- 2
- 3
- 4
- 5
- 6
- 7
返回结果:
加固方案:
参考配置操作(实际值与标准值不符合时)
1、如果用不到NFS服务,请关闭
#/etc/init.d/nfs stop
禁止自启
#chkconfig nfs off
2、删除共享内容
#mv /etc/exports /etc/exports.bak
重启NFS服务
#/etc/init.d/nfs restart
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
六、日志审计
6.1 检查项—开启日志服务并配置记录内容
判定依据:
##### 检测方法-----1 ##### 1、查看日志服务是否开启 #ps -ef|grep syslog(syslog) #ps -ef|grep rsyslog(rsyslog) 2、查看/etc/syslog.conf文件 #cat /etc/syslog.conf(syslog) #cat /etc/rsyslog.conf(rsyslog) 检查日志配置: kern.warning;*.err;authpriv.none @loghost *.info;mail.none;authpriv.none;cron.none @loghost *.emerg @loghost local7.* @loghost 或 *.* @loghost 判定依据 以上条件满足则合规;否则不合规。 ##### 检测方法(脚本)-----2 ##### ps -ef|awk '{if($8~"syslog")print}' if [[ -n `ps -ef|awk '{if($8~"syslog")print}'|egrep -w "syslogd|rsyslogd"` ]];then echo "result=Log service is running" function venus(){ echo conf_file=$1 if [ -f $1 ];then cat $1 |grep -v "^[[:space:]]*#"|egrep "\*\.\*[[:space:]]+@\S+" if [[ -n `cat $1 |grep -v "^[[:space:]]*#"|egrep "\*\.\*[[:space:]]+@\S+"` ]];then echo "result0=yes" else echo "result0=no" if [[ -n `cat $1 |grep -v "^[[:space:]]*#"|egrep "kern\.warning;\*\.err;authpriv\.none[[:space:]]+@"` ]];then echo "result1=yes" else echo "result1=no" fi if [[ -n `cat $1 |grep -v "^[[:space:]]*#"|egrep "\*\.info;mail\.none;authpriv\.none;cron\.none[[:space:]]+@"` ]];then echo "result2=yes" else echo "result2=no" fi if [[ -n `cat $1 |grep -v "^[[:space:]]*#"|egrep "\*\.emerg[[:space:]]+@"` ]];then echo "result3=yes" else echo "result3=no" fi if [[ -n `cat $1 |grep -v "^[[:space:]]*#"|egrep "local7\.\*[[:space:]]+@"` ]];then echo "result4=yes" else echo "result4=no" fi fi else echo "result=conf_file not found" fi } syslog_type=`ps -ef|awk '{if($8~"syslog")print$8}'|awk -F"/" '{for(i=1;i<=NF;i++)if($i~/syslog/)print$i}'|egrep -w "syslogd|rsyslogd"` echo syslog_type=$syslog_type case $syslog_type in syslogd) conf_file="/etc/syslog.conf" venus "$conf_file" ;; rsyslogd) conf_file="/etc/rsyslog.conf" venus "$conf_file" ;; *) echo "syslog_type not found" esac unset syslog_type conf_file ip_address else echo "result=Log service not running" fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
返回结果:
检查点:
检查点[1]:kern.warning;*.err;authpriv.none @loghost 实际值: no 运算符:等于 标准值: yes 检查点[2]:*.info;mail.none;authpriv.none;cron.none @loghost 实际值: no 运算符:等于 标准值: yes 检查点[3]:*.emerg @loghost 实际值: no 运算符:等于 标准值: yes 检查点[4]:local7.* @loghost 实际值: no 运算符:等于 标准值: yes 检查点[5]:*.* @loghost 实际值: no 运算符:等于 标准值: yes 检查点[6]:日志服务开启 实际值: Log service is running 运算符:等于 标准值: Log service is running
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
加固方案:
参考配置操作 1、执行备份 #cp /etc/syslog.conf /etc/syslog.conf.bak(syslog) #cp /etc/rsyslog.conf /etc/rsyslog.conf.bak(rsyslog) 2、编辑/etc/rsyslog.conf文件 #vi /etc/syslog.conf(syslog) #vi /etc/rsyslog.conf(rsyslog) 添加内容(存在则修改): kern.warning;*.err;authpriv.none @loghost *.info;mail.none;authpriv.none;cron.none @loghost *.emerg @loghost local7.* @loghost 或 *.* @loghost 保存退出 3、开启日志服务 # systemctl start rsyslog # systemctl start syslog
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
6.2 检查项—日志至少保留180天
判定依据:
##### 检测方法-----1 ##### 1、查看/etc/logrotate.conf文件 # cat /etc/logrotate.conf # see "man logrotate" for details //可以查看帮助文档 # rotate log files weekly weekly //设置每周转储一次(daily、weekly、monthly当然可以使用这些参数每天、星期,月 ) # keep 4 weeks worth of backlogs rotate 4 //最多转储4次 # create new (empty) log files after rotating old ones create //当转储后文件不存在时创建它 # uncomment this if you want your log files compressed # compress //通过gzip压缩方式转储(nocompress可以不压缩) # RPM packages drop log rotation information into this directory include /etc/logrotate.d //其他日志文件的转储方式配置文件,包含在该目录下 # no packages own wtmp -- we'll rotate them here /var/log/wtmp { //设置/var/log/wtmp日志文件的转储参数 monthly //每月转储 create 0664 root utmp //转储后文件不存在时创建它,文件所有者为root,所属组为utmp,对应的权限为0664 minsize 1M //日志文件最小轮替大小是 1MB rotate 1 //最多转储一次 } /var/log/btmp { missingok monthly create 0600 root utmp rotate 1 } 2、weekly下的rotate 值 是否为 26,表示6个月; 指定文件的monthly下的rotate 值 是否为 6,表示6个月 判断依据 两者都满足则合规,否则不合规
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
检查点:
检查点[1]:日志转储次数
实际值:
4
运算符:等于
标准值:
>=26
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
返回结果:
加固方案:
参考配置操作 1、编辑/etc/logrotate.conf文件 # vi /etc/logrotate.conf 将全局的weekly下的rotate 4 改为rotate 26,表示6个月,也就是半年的时间,因为一个月大致4周,半年大概有26周,180天/7天 = 25周余5天,所以设置成26即可。 2、将指定文件的monthly下的rotate 1 改为rotate 6,表示6个月。 如: /var/log/btmp { missingok monthly create 0600 root utmp rotate 6 } 3、开启日志服务 # systemctl start rsyslog # systemctl start syslog
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
七、网络通信
7.1 检查项—限制终端登录范围
判定依据:
##### 检测方法-----1 ##### 查看/etc/hosts.allow和/etc/hosts.deny两个文件中是否设定了IP范围限制: #cat /etc/hosts.allow #cat /etc/hosts.deny 判定依据 1、/etc/hosts.allow中设置了允许访问的IP地址范围。 2、/etc/hosts.deny中设置了拒绝所有远程访问。 两者同时满足则合规,否则不合规。 ##### 检测方法(脚本)-----2 ##### if [[ -n `cat /etc/hosts.allow 2>/dev/null|grep -v "^#"|grep -v "^$"|egrep -i "sshd|telnet|all"` ]];then echo "result1=yes" else echo "result1=no" fi if [[ -n `cat /etc/hosts.deny 2>/dev/null|grep -v "^#"|grep -v "^$"|egrep -i "all:[[:space:]]*all"` ]];then echo "result2=yes" else echo "result2=no" fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
返回结果:
检查点:
检查点[1]:检查是否设置允许远程访问的ip地址
实际值:
no
运算符:等于
标准值:
yes
检查点[2]:检查是否设置拒绝所有远程访问
实际值:
no
运算符:等于
标准值:
yes
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
加固方案:
参考配置操作
1、执行备份:
#cp -p /etc/hosts.allow /etc/hosts.allow.bak
#cp -p /etc/hosts.deny /etc/hosts.deny.bak
2、编辑/etc/hosts.allow文件,增加一行 service: 允许访问的IP(service为服务,例如sshd),举例如下:all:192.168.4.44:allow #允许单个IP访问所有服务进程
sshd:192.168.1.*:allow #允许192.168.1.0的整个网段访问SSH服务进程
#编辑文件/etc/hosts.deny增加一行(deny优先级高于allow)
all:all #拒绝一切远程访问配合文件hosts.allow使用。
注:以上内容仅供参考,请根据实际网段和需求进行实施。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
八、其他配置
8.1 检查项—开启SElinux功能
判定依据:
##### 检测方法-----1 ##### 1、查看/etc/selinux/config配置文件是否启用了SElinux #cat /etc/selinux/config 2、查看当前SElinux状态是否为启用 #/usr/sbin/sestatus 判定依据 条件1、/etc/selinux/config文件中SELINUX参数配置为enforcing 条件2、当前SElinux状态为 enabled 以上两个条件都满足则合规,否则不合规。 ##### 检测方法(脚本)-----2 ##### if [ -f /etc/selinux/config ];then cat /etc/selinux/config|egrep -v "^\s{0,}#|^$" if [ -n `cat /etc/selinux/config|egrep -v "^\s{0,}#|^$"|grep "SELINUX\b="|awk -F= '{print$2}'|egrep "enforcing|ENFORCING"` ];then /usr/sbin/sestatus 2>/dev/null else echo "The /etc/selinux/config file does not have SELinux enabled" fi else echo "The /etc/selinux/config file was not found" fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
返回结果:
检查点:
检查点[1]:检查/etc/selinux/config文件SELINUX配置
实际值:
disabled
运算符:部分存在
标准值:
enforcing
ENFORCING
检查点[2]:查看当前SElinux状态
实际值:
disabled
运算符:等于
标准值:
enabled
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
加固方案:
参考配置操作(实际值不符合检查点时)
1、文件备份
#cp /etc/selinux/config /etc/selinux/config_$(date "+%Y%m%d%H%M%S")
2、编辑文件,启用SELINUX功能
#vi /etc/selinux/config
SELINUX=enforcing #启用SElinux功能
:wq! #保存退出
3、重启操作系统生效
#reboot
补充:SElinux开启后,可通过chcon命令修改对象(文件)的安全上下文。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/416765
推荐阅读
相关标签
