2. 程式人生 > >linux安全配置檢查腳本_v0.8

linux安全配置檢查腳本_v0.8

阿新 發佈:2017-11-29
忽略 過期 重要文件 shadow 基線 div grup roo director

腳本環境:RHEL6.*

腳本說明:該腳本作用為純執行檢測不涉及更改配置等操作,與直接上來就改安全配置等基線腳本相比相對安全一些。雖然如此,在你執行該腳本之前仍然建議你備份或快照一下目標系統。

代碼部分:

#! /bin/bash
cat <<EOF
*************************************************************************
linux安全配置掃描腳本:
1. 輸出結果也可以在當前目錄的out.txt中查看
2. 檢查範圍:
 -》賬號策略檢查
 -》賬號註銷檢查
 -》GRUB密碼檢查
 -》LILO密碼檢查
 
 
-》非root賬號但UID為0的用戶檢查
 -》/etc/profile中umask默認值檢查
 -》/etc/csh.cshrc中umask默認值檢查
 -》/etc/bashrc中umask默認值檢查
 -》重要文件權限檢查
 -》內核文件dump配置檢查

*************************************************************************
EOF
rm -rf ./out.txt
echo -e "\n"
echo "[1] 賬號策略檢查中..."
passmax=`cat /etc/login.defs | grep PASS_MAX_DAYS | grep
 
 -v ^# | awk {print $2}`
passmin=`cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v ^# | awk {print $2}`
passlen=`cat /etc/login.defs | grep PASS_MIN_LEN | grep -v ^# | awk {print $2}`
passage=`cat /etc/login.defs | grep PASS_WARN_AGE | grep -v ^# | awk {print $2}`
if [ $passmax -le 90 -a $passmax -gt 0
 
 ];then
echo " [OK]口令生存周期為${passmax}天,符合要求" >> out.txt
else
echo " [ X ] 口令生存周期為${passmax}天,不符合要求,建議設置不大於90天" >> out.txt
fi
if [ $passmin -ge 6 ];then
echo " [OK]口令更改最小時間間隔為${passmin}天,符合要求" >> out.txt
else
echo " [ X ] 口令更改最小時間間隔為${passmin}天,不符合要求,建議設置大於等於6天" >> out.txt
fi
if [ $passlen -ge 8 ];then
echo " [OK]口令最小長度為${passlen},符合要求" >> out.txt
else
echo " [ X ] 口令最小長度為${passlen},不符合要求,建議設置最小長度大於等於8" >> out.txt
fi
if [ $passage -ge 30 -a $passage -lt $passmax ];then
echo " [OK]口令過期警告時間天數為${passage},符合要求" >> out.txt
else
echo " [ X ] 口令過期警告時間天數為${passage},不符合要求,建議設置大於等於30並小於口令生存周期" >> out.txt
fi
echo "..."
echo check over
echo -e "\n"
echo "[2] 賬號註銷檢查中..."
TMOUT=`cat /etc/profile | grep TMOUT | awk -F[=] {print $2}`
if [ ! $TMOUT ];then
echo " [ X ] 賬號超時不存在自動註銷,不符合要求,建議設置小於600秒" >> out.txt
else
if [ $TMOUT -le 600 -a $TMOUT -ge 10 ] ; then
echo " [ √ ] 賬號超時時間${TMOUT}秒,符合要求" >> out.txt
else
echo " [ X ] 賬號超時時間$TMOUT秒,不符合要求,建議設置小於600秒" >> out.txt
fi
fi
echo "..."
echo check over
echo -e "\n"
echo "[3] GRUB密碼檢查中..."
grup_pwd=`cat /etc/grub.conf | grep -v ^# | grep password 2> /dev/null`
if [ $? -eq 0 ];then
echo " [ √ ] 已設置grub密碼,符合要求" >> out.txt
else
echo " [ X ] 沒有設置grub密碼,不符合要求,建議設置grub密碼" >> out.txt
fi
echo "..."
echo "check over"
echo -e "\n"
echo "[4] LILO密碼檢查中..."
if [ ! -f /etc/lilo.conf ] ; then
echo " [ √ ] lilo.conf配置文件不存在,系統可能不是通過LILO引導" >> out.txt
else
lilo_pwd=`cat /etc/lilo.conf | grep -v ^# | grep password &> /dev/null`
if [ $? -eq 0 ];then
echo " [ √ ] 已設置lilo密碼,符合要求" >> out.txt
else
echo " [ X ] 沒有設置lilo密碼,不符合要求,建議設置lilo密碼(操作有風險,需慎重!)" >> out.txt
fi
fi
echo "..."
echo "check over"
echo -e "\n"

echo "[5] 非root賬號但UID為0的用戶檢查中..."
UIDS=`awk -F[:] NR!=1{print $3} /etc/passwd`
flag=0
for i in $UIDS
do
  if [ $i = 0 ];then
     flag=1
  fi
done
  if [ $flag != 1 ];then
    echo " [ √ ] 不存在root賬號外的UID為0的異常用戶" >> out.txt
  else
    echo " [ X ] 存在非root但UID為0的異常用戶,請立刻進行排查" >> out.txt
  fi
echo "..."
echo "check over"
echo -e "\n"

echo "[6] /etc/profile中umask默認值檢查中..."
umask1=`cat /etc/profile | grep umask | grep -v ^# | awk {print $2}`
flags=0

for i in $umask1
do
  if [ $i = "027" ];then
    flags=1
  fi
done
if [ $flags = 1 ];then
  echo " [ √ ] /etc/profile文件中所設置的umask為${i},符合要求" >> out.txt
else
  echo " [ X ] /etc/profile文件中所設置的umask為${i},不符合要求" >> out.txt
  echo "      【理論上建議設置值為027,但因系統重要程度不同請根據具體情況慎重操作,如不確定請暫忽略此項】" >> out.txt
fi
echo "..."
echo "check over"
echo -e "\n"


echo "[7] /etc/csh.cshrc中umask默認值檢查中..."
umask2=`cat /etc/csh.cshrc | grep umask | grep -v ^# | awk {print $2}`
flags=0

for i in $umask2
do
  if [ $i = "027" ];then
    flags=1
  fi
done
if [ $flags = 1 ];then
  echo " [ √ ] /etc/csh.cshrc文件中所設置的umask為${i},符合要求" >> out.txt
else
  echo " [ X ] /etc/csh.cshrc文件中所設置的umask為${i},不符合要求" >> out.txt
  echo "      【理論上建議設置值為027,但因系統重要程度不同請根據具體情況慎重操作,如不確定請暫忽略此項】" >> out.txt
fi
echo "..."
echo "check over"
echo -e "\n"


echo "[8] /etc/bashrc中umask默認值檢查中..."
umask3=`cat /etc/bashrc | grep umask | grep -v ^    # | awk {print $2}`
flags=0

for i in $umask3
do
  if [ $i = "027" ];then
    flags=1
  fi
done
if [ $flags = 1 ];then
  echo " [ √ ] /etc/bashrc文件中所設置的umask為${i},符合要求" >> out.txt
else
  echo " [ X ] /etc/bashrc文件中所設置的umask為${i},不符合要求" >> out.txt
  echo "      【理論上建議設置值為027,但因系統重要程度不同請根據具體情況慎重操作,如不確定請暫忽略此項】" >> out.txt
fi
echo "..."
echo "check over"
echo -e "\n"


echo "[9] 重要文件權限檢查中..."
file1=`ls -l /etc/passwd | awk {print $1}`
if [ $file1 = "-rw-r--r--." ];then
  echo " [ √ ] /etc/passwd文件權限為644,符合要求" >> out.txt
else
  echo " [ X ] /etc/passwd文件權限為[$file1.],不符合要求" >> out.txt
fi

file2=`ls -l /etc/shadow | awk {print $1}`
if [ $file2 = "-rw-r--r--." ] || [ $file2 = "----------." ];then
  echo " [ √ ] /etc/shadow文件權限為400或000,符合要求" >> out.txt
else
  echo " [ X ] /etc/shadow文件權限為${file2},不符合要求" >> out.txt
fi

file3=`ls -l /etc/group | awk {print $1}`
if [ $file3 = "-rw-r--r--." ];then
  echo " [ √ ] /etc/group文件權限為644,符合要求" >> out.txt
else
  echo " [ X ] /etc/group文件權限為$file3,不符合要求" >> out.txt
fi

file4=`ls -l /etc/securetty | awk {print $1}`
if [ $file4 = "-rw-------." ];then
  echo " [ √ ] /etc/security文件權限為600,符合要求" >> out.txt
else
  echo " [ X ] /etc/security文件權限不為600,不符合要求,建議設置權限為600" >> out.txt
fi

file5=`ls -l /etc/services | awk {print $1}`
if [ $file5 = "-rw-r--r--." ];then
  echo " [ √ ] /etc/services文件權限為644,符合要求" >> out.txt
else
  echo " [ X ] /etc/services文件權限不為644,不符合要求,建議設置權限為644" >> out.txt
fi

file6=`ls -l /etc/xinetd.conf | awk {print $1}`
if [ !-f $file6 ];then
  echo " [ √ ] /etc/xinetd.conf文件不存在,暫略此項" >> out.txt
else
  if [ $file6 = "-rw-------." ];then
    echo " [ √ ] /etc/xinetd.conf文件權限為600,符合要求" >> out.txt
  else
    echo " [ X ] /etc/xinetd.conf文件權限不為600,不符合要求,建議設置權限為600" >> out.txt
  fi
fi

file7=`ls -l /etc/grub.conf | awk {print $1}`
if [ $file7 = "-rw-------." ];then
  echo " [ √ ] /etc/grub.conf文件權限為600,符合要求" >> out.txt
else
  echo " [ X ] /etc/grub.conf文件權限為$file7,不符合要求,建議設置權限為600" >> out.txt
fi

file8=`ls -l /etc/lilo.conf | awk {print $1}`
if [ -f /etc/lilo.conf ];then
  if [ $file8 = "-rw-------" ];then
    echo " [ √ ] /etc/lilo.conf文件權限為600,符合要求" >> out.txt
  else
    echo " [ X ] /etc/lilo.conf文件權限不為600,不符合要求,建議設置權限為600" >> out.txt
  fi
else
  echo " [ √ ] /etc/lilo.conf文件不存在,暫略此項" >> out.txt
fi
echo "..."
echo "check over"
echo -e "\n"


echo "[10] 內核文件dump配置檢查中..."
cat /etc/security/limits.conf | grep -v ^# | grep core
if [ $? = 0 ];then
  #soft=`cat /etc/security/limits.conf| grep -V ^# | grep core | awk {print $2}`
  soft=`cat /etc/security/limits.conf| grep -v ^# | awk {print $2}` &> /dev/null
  for i in $soft
  do
    if [ $i = "soft" ];then
      echo -e " [ √ ] 內核文件dump配置檢查[*\tsoft\tcore\t0]已經設置" >> out.txt
    fi
    if [ $i = "hard" ];then
      echo -e " [ √ ] 內核文件dump配置檢查[*\thard\tcore\t0]已經設置" >> out.txt 
    fi
  done
else
  echo -e " [ X ] 沒有設置core,建議在/etc/security/limits.conf中添加[*\tsoft\tcore\t0]和[*\thard\tcore\t0]" >> out.txt
fi
echo "..."
echo "check over"
echo -e "\n"


echo "--------------------------------------------------------------------------"
echo ""
echo "掃描結果:"
echo ""
cat ./out.txt
echo ""
echo "--------------------------------------------------------------------------"
echo ""

執行結果:

[root@localhost ~]# ./linuxCheck.sh 
*************************************************************************
linux安全配置掃描腳本:
1. 輸出結果也可以在當前目錄的out.txt中查看
2. 檢查範圍:
 -》賬號策略檢查
 -》賬號註銷檢查
 -》GRUB密碼檢查
 -》LILO密碼檢查
 -》非root賬號但UID為0的用戶檢查
 -》/etc/profile中umask默認值檢查
 -》/etc/csh.cshrc中umask默認值檢查
 -》/etc/bashrc中umask默認值檢查
 -》重要文件權限檢查
 -》內核文件dump配置檢查

*************************************************************************


[1] 賬號策略檢查中...
...
check over


[2] 賬號註銷檢查中...
...
check over


[3] GRUB密碼檢查中...
...
check over


[4] LILO密碼檢查中...
...
check over


[5] 非root賬號但UID為0的用戶檢查中...
...
check over


[6] /etc/profile中umask默認值檢查中...
...
check over


[7] /etc/csh.cshrc中umask默認值檢查中...
...
check over


[8] /etc/bashrc中umask默認值檢查中...
...
check over


[9] 重要文件權限檢查中...
ls: cannot access /etc/xinetd.conf: No such file or directory
ls: cannot access /etc/lilo.conf: No such file or directory
...
check over


[10] 內核文件dump配置檢查中...
* soft    core            0
...
check over


--------------------------------------------------------------------------

掃描結果:

 [ X ] 口令生存周期為99999天,不符合要求,建議設置不大於90天
 [ X ] 口令更改最小時間間隔為0天,不符合要求,建議設置大於等於6天
 [ X ] 口令最小長度為5,不符合要求,建議設置最小長度大於等於8
 [ X ] 口令過期警告時間天數為7,不符合要求,建議設置大於等於30並小於口令生存周期
 [ X ] 賬號超時不存在自動註銷,不符合要求,建議設置小於600秒
 [ √ ] 已設置grub密碼,符合要求
 [ √ ] lilo.conf配置文件不存在,系統可能不是通過LILO引導
 [ √ ] 不存在root賬號外的UID為0的異常用戶
 [ X ] /etc/profile文件中所設置的umask為022,不符合要求
      【理論上建議設置值為027,但因系統重要程度不同請根據具體情況慎重操作,如不確定請暫忽略此項】
 [ X ] /etc/csh.cshrc文件中所設置的umask為022,不符合要求
      【理論上建議設置值為027,但因系統重要程度不同請根據具體情況慎重操作,如不確定請暫忽略此項】
 [ X ] /etc/bashrc文件中所設置的umask為022,不符合要求
      【理論上建議設置值為027,但因系統重要程度不同請根據具體情況慎重操作,如不確定請暫忽略此項】
 [ √ ] /etc/passwd文件權限為644,符合要求
 [ √ ] /etc/shadow文件權限為400或000,符合要求
 [ √ ] /etc/group文件權限為644,符合要求
 [ √ ] /etc/security文件權限為600,符合要求
 [ √ ] /etc/services文件權限為644,符合要求
 [ √ ] /etc/xinetd.conf文件不存在,暫略此項
 [ X ] /etc/grub.conf文件權限為lrwxrwxrwx.,不符合要求,建議設置權限為600
 [ √ ] /etc/lilo.conf文件不存在,暫略此項
 [ √ ] 內核文件dump配置檢查[*    soft    core    0]已經設置
 [ √ ] 內核文件dump配置檢查[*    hard    core    0]已經設置

--------------------------------------------------------------------------

linux安全配置檢查腳本_v0.8

相關推薦

linux安全配置檢查_v0.8

忽略 過期 重要文件 shadow 基線 div grup roo director 腳本環境:RHEL6.* 腳本說明:該腳本作用為純執行檢測不涉及更改配置等操作,與直接上來就改安全配置等基線腳本相比相對安全一些。雖然如此,在你執行該腳本之前仍然建議你備份或快照一下目標系

服務端測試環境hosts配置檢查

not init 環境配置 strip etc readlines ram else 是否一致 問題 由於A測試環境和B測試環境相互耦合,B測試環境切換導致我方測試環境需要更改後臺服務器的響應配置。若多臺服務器中有一臺服務器沒有更改配置,則在測試過程中將會出現問題。屆時排

2.8-bash環境配置

bash環境配置及腳本bash的配置文件 按生效範圍劃分:存在兩類 全局配置: /etc/profile /etc/profile.d/*.sh /etc/bashrc 個人配置:

Linux系統檢查

ssi pass then telephone file 啟用 ada fix exec 一、背景 對登錄一個系統,快速查看其系統信息,檢查系統各項指標及參數,編寫系統快速檢查腳本,輸出系統信息到腳本運行的logs目錄下。 二、腳本 git地址 #!/bin/bash #

Linux Shell——bash shell 簡介

運行環境 linux 關鍵字 程序 單詞 bash shell 腳本簡介shell 運行環境如果你運行的是 Unix 或 Linux 系統,例如 Ubuntu,Red Hat,SUSE Linux,還有macOS,都是內置了 bash shell 的,所以你不需要額外配置所謂的開發

linux系統oracle備份

數據庫文件 日期 direct filepath pfile 創建 根據 庫文件 hup #路徑名,指定備份的路徑 FILEPATH=/home/oracle/bachup #根據指定日期格式,定義備份數據庫文件名 FILENAME=`date +%y%m%d` #切換至指

使用crontab,讓linux定時執行shell

表示 inux 包含 tor span 之間 line mage sun 閱讀目錄 1. cron服務【Ubuntu環境】 2. crontab用法 3. 編輯crontab文件 4. 流程舉例 5. 幾個例子 Linux中,周期執行的任務一般由cron

linux下使用shell自動化部署項目

href -s itl 地址 home ref ont cin 9.png 在Java開發項目時經常要把正在開發的項目發布到測試服務器中去測試,一般的話是要把項目先打成war包,然後把war包發布到服務器中,關閉服務器, 最後重新啟動服務器,雖然這過程不是很繁瑣,但如果是多

redis安全刪key

logs redis-cli done echo 線上 cli 執行 spa -a 需求: 刪除指定前綴開頭的rediskey ,掃描和刪除過程中對線上無感知 只要知道線上操作的時候我們要用scan來代替 keys ,這一點就行了,簡單腳本如下: del.

DAY-10 Linux基礎及shell

.cn 特殊符號 修改配置文件 pcb 技術 輸出 自帶 一個 過程 一、nfs服務 1、NFS 是Network File System的縮寫,即網絡文件系統。用於Linux系統之間的共享存儲,NFS在文件傳送或信息傳送過程中依賴於RPC協議,RPC的思想:一個客戶端一個

bash 環境配置

輸入 less expand six -a key source path osi bash是 Bourne Again Shell簡稱 ,從unix系統的sh發展而來 查看當前shellecho $SHELL查看系統支持的shellcat /etc/shells cd

Linux中執行shell的4種方法

linux shell 這篇文章主要介紹了Linux中執行shell腳本的4種方法總結,即在Linux中運行shell腳本的4種方法,需要的朋友可以參考下。bash shell 腳本的方法有多種,現在作個小結。假設我們編寫好的shell腳本的文件名為hello.sh,文件位置在/root/bin目錄中

Linux中自動安裝

linux腳本自動安裝如何讓你的主機自動的完成安裝,自動的回答系統提出的問題,編寫自動安裝腳本即可實現,如下將詳細解釋自動腳本安裝方法。systemd-config-kickstart ##自動應答腳本制作工具安裝成功,在安裝過程中systemd-config-kickstart 將做出腳本應答進行選擇語言

(轉)開發監控Linux 內存 Shell

amp 分析 分鐘 target line net ocl 發送郵件 使用情況 原文:http://blog.csdn.net/timchen525/article/details/76474017 題場景: 開發Shell 腳本判斷系統剩余內存的大小,如果低於100MB,

Linux高級Shell講解

linux shell 腳本 Shell高級進階條件選擇if語句,可實現條件性判斷if語法:if commands;then commands(如果命令為真,將執行後續命令,fi結尾;) elif commands;then commands(如果前面if不為真,則判斷elif是否為真

linux 自動化發布

編碼 repo linux == https ont pat error log # GIT_HOME=/developer/git-repository/ DEST_PATH=/product/frontend/ #cd dir if [ ! -n "$1"

Linux 定時執行shell命令之crontab

定時備份 star art www. 服務器 啟動 and .sh 日誌 crontab可以在指定的時間執行一個shell腳本以及執行一系列Linux命令 例如:服務器管理員定時備份數據庫數據、日誌等 詳解: 常用命令: crontab –e

ELK配置新增

cal resume var 我們 onresume bash system mux gin 每次有新服務器上線的時候我們需要采集日誌信息涉及到各種配置: rsyslog客戶端 rsyslog中繼服務器 rsyslog服務器 logstash-shipper 如果手動配

shell 4 檢查錯誤

AS bsp som shell ash bash 檢查 some pat 檢查語法錯誤 -n bash -n /path/to/some_script bash -n f1.sh 調試執行 跟蹤調試 bash -x /path/t

三、u-boot 的配置-mkconfig

nbsp echo 鏈接 後退 pre AR 包含 共創 編譯過程 3.1 mkconfig 腳本 1 100ask24x0_config : unconfig 2 @$(MKCONFIG) $(@:_config=) arm arm920t 100a