linux基線核查腳本

#!/bin/bash
#version 2.0cat <<EOF
*************************************************************************************
*****				linux基線檢查腳本	  	     		*****
*************************************************************************************
*****				linux基線配置規范設計				*****
*****				輸出結果/tmp/${ipadd}_out.txt					*****
*************************************************************************************
EOFecho "***************************"
echo "賬號策略檢查中..."
echo "***************************"
ipadd=`ifconfig -a | grep Bcast | awk -F "[ :]+" '{print $4}'`
passmax=`cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v ^# | awk '{print $2}'`
passmin=`cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v ^# | awk '{print $2}'`
passlen=`cat /etc/login.defs | grep PASS_MIN_LEN | grep -v ^# | awk '{print $2}'`
passage=`cat /etc/login.defs | grep PASS_WARN_AGE | grep -v ^# | awk '{print $2}'`if [ $passmax -le 90 -a $passmax -gt 0];thenecho "口令生存周期為${passmax}天,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "口令生存周期為${passmax}天,不符合要求,建議設置不大于90天" >> /tmp/${ipadd}_out.txt
fiif [ $passmin -ge 6 ];thenecho "口令更改最小時間間隔為${passmin}天,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "口令更改最小時間間隔為${passmin}天,不符合要求,建議設置大于等于6天" >> /tmp/${ipadd}_out.txt
fiif [ $passlen -ge 8 ];thenecho "口令最小長度為${passlen},符合要求" >> /tmp/${ipadd}_out.txt
elseecho "口令最小長度為${passlen},不符合要求,建議設置最小長度大于等于8" >> /tmp/${ipadd}_out.txt
fiif [ $passage -ge 30 -a $passage -lt $passmax ];thenecho "口令過期警告時間天數為${passage},符合要求" >> /tmp/${ipadd}_out.txt
elseecho "口令過期警告時間天數為${passage},不符合要求,建議設置大于等于30并小于口令生存周期" >> /tmp/${ipadd}_out.txt
fiecho "***************************"
echo "賬號是否會主動注銷檢查中..."
echo "***************************"
cat /etc/profile | grep TMOUT | awk -F[=] '{print $2}' 
if [ $? -eq 0 ];thenTMOUT=`cat /etc/profile | grep TMOUT | awk -F[=] '{print $2}'`if [ $TMOUT -le 600 -a $TMOUT -ge 10 ];thenecho "賬號超時時間${TMOUT}秒,符合要求" >> /tmp/${ipadd}_out.txtelseecho "賬號超時時間${TMOUT}秒,不符合要求,建議設置小于600秒" >> /tmp/${ipadd}_out.txtfi
elseecho "賬號超時不存在自動注銷,不符合要求,建議設置小于600秒" >> /tmp/${ipadd}_out.txt 
fi#grub和lilo密碼是否設置檢查
cat /etc/grub.conf | grep password 2> /dev/null
if [ $? -eq 0 ];thenecho "已設置grub密碼,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "沒有設置grub密碼,不符合要求,建議設置grub密碼" >> /tmp/${ipadd}_out.txt
ficat /etc/lilo.conf | grep password 2> /dev/null
if [ $? -eq 0 ];thenecho "已設置lilo密碼,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "沒有設置lilo密碼,不符合要求,建議設置lilo密碼" >> /tmp/${ipadd}_out.txt
fi#查找非root賬號UID為0的賬號
UIDS=`awk -F[:] 'NR!=1{print $3}' /etc/passwd`
flag=0
for i in $UIDS
doif [ $i = 0 ];thenecho "存在非root賬號的賬號UID為0,不符合要求" >> /tmp/${ipadd}_out.txtelseflag=1fi
done
if [ $flag = 1 ];thenecho "不存在非root賬號的賬號UID為0,符合要求" >> /tmp/${ipadd}_out.txt
fi#檢查umask設置
umask1=`cat /etc/profile | grep umask | grep -v ^# | awk '{print $2}'`
umask2=`cat /etc/csh.cshrc | grep umask | grep -v ^# | awk '{print $2}'`
umask3=`cat /etc/bashrc | grep umask | grep -v ^# | awk 'NR!=1{print $2}'`
flags=0
for i in $umask1
doif [ $i = "027" ];thenecho "/etc/profile文件中所設置的umask為${i},符合要求" >> /tmp/${ipadd}_out.txtelseflags=1fi
done
if [ $flags = 1 ];thenecho "/etc/profile文件中所所設置的umask為${i},不符合要求,建議設置為027" >> /tmp/${ipadd}_out.txt
fi flags=0
for i in $umask2
doif [ $i = "027" ];thenecho "/etc/csh.cshrc文件中所設置的umask為${i},符合要求" >> /tmp/${ipadd}_out.txtelseflags=1fi
done  
if [ $flags = 1 ];thenecho "/etc/csh.cshrc文件中所所設置的umask為${i},不符合要求,建議設置為027" >> /tmp/${ipadd}_out.txt
fiflags=0
for i in $umask3
doif [ $i = "027" ];thenecho "/etc/bashrc文件中所設置的umask為${i},符合要求" >> /tmp/${ipadd}_out.txtelseflags=1fi
done
if [ $flags = 1 ];thenecho "/etc/bashrc文件中所設置的umask為${i},不符合要求,建議設置為027" >> /tmp/${ipadd}_out.txt
fiecho "***************************"
echo "檢查重要文件權限中..."
echo "***************************"file1=`ls -l /etc/passwd | awk '{print $1}'`
file2=`ls -l /etc/shadow | awk '{print $1}'`
file3=`ls -l /etc/group | awk '{print $1}'`
file4=`ls -l /etc/securetty | awk '{print $1}'`
file5=`ls -l /etc/services | awk '{print $1}'`
file6=`ls -l /etc/xinetd.conf | awk '{print $1}'`
file7=`ls -l /etc/grub.conf | awk '{print $1}'`
file8=`ls -l /etc/lilo.conf | awk '{print $1}'`if [ $file1 = "-rw-r--r--" ];thenecho "/etc/passwd文件權限為644,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/passwd文件權限不為644,不符合要求,建議設置權限為644" >> /tmp/${ipadd}_out.txt
fiif [ $file2 = "-r--------" ];thenecho "/etc/shadow文件權限為400,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/shadow文件權限不為400,不符合要求,建議設置權限為400" >> /tmp/${ipadd}_out.txt
fiif [ $file3 = "-rw-r--r--" ];thenecho "/etc/group文件權限為644,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/group文件權限不為644,不符合要求,建議設置權限為644" >> /tmp/${ipadd}_out.txt
fiif [ $file4 = "-rw-------" ];thenecho "/etc/security文件權限為600,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/security文件權限不為600,不符合要求,建議設置權限為600" >> /tmp/${ipadd}_out.txt
fiif [ $file5 = "-rw-r--r--" ];thenecho "/etc/services文件權限為644,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/services文件權限不為644,不符合要求,建議設置權限為644" >> /tmp/${ipadd}_out.txt
fiif [ $file6 = "-rw-------" ];thenecho "/etc/xinetd.conf文件權限為600,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/xinetd.conf文件權限不為600,不符合要求,建議設置權限為600" >> /tmp/${ipadd}_out.txt
fiif [ $file7 = "-rw-------" ];thenecho "/etc/grub.conf文件權限為600,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "/etc/grub.conf文件權限不為600,不符合要求,建議設置權限為600" >> /tmp/${ipadd}_out.txt
fiif [ -f /etc/lilo.conf ];thenif [ $file8 = "-rw-------" ];thenecho "/etc/lilo.conf文件權限為600,符合要求" >> /tmp/${ipadd}_out.txtelseecho "/etc/lilo.conf文件權限不為600,不符合要求,建議設置權限為600" >> /tmp/${ipadd}_out.txtfielseecho "/etc/lilo.conf文件夾不存在"
ficat /etc/security/limits.conf | grep -V ^# | grep core
if [ $? -eq 0 ];thensoft=`cat /etc/security/limits.conf | grep -V ^# | grep core | awk {print $2}`for i in $softdoif [ $i = "soft" ];thenecho "* soft core 0 已經設置" >> /tmp/${ipadd}_out.txtfiif [ $i = "hard" ];thenecho "* hard core 0 已經設置" >> /tmp/${ipadd}_out.txtfidone
else echo "沒有設置core,建議在/etc/security/limits.conf中添加* soft core 0和* hard core 0" >> /tmp/${ipadd}_out.txt
fiecho "***************************"
echo "檢查ssh配置文件中..."
echo "***************************"
cat /etc/ssh/sshd_config | grep -v ^# |grep "PermitRootLogin no"
if [ $? -eq 0 ];thenecho "已經設置遠程root不能登陸,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "不已經設置遠程root不能登陸,不符合要求,建議/etc/ssh/sshd_config添加PermitRootLogin no" >> /tmp/${ipadd}_out.txt
fi#檢查telnet是否開啟
telnetd=`cat /etc/xinetd.d/telnet | grep disable | awk '{print $3}'`
if [ $telnetd = "yes" ];thenecho "檢測到telnet服務開啟,不符合要求,建議關閉telnet" >> /tmp/${ipadd}_out.txt
fiProtocol=`cat /etc/ssh/sshd_config | grep -v ^# | grep Protocol | awk '{print $2}'`
if [ $Protocol = 2 ];thenecho "openssh使用ssh2協議,符合要求" >> /tmp/${ipadd}_out.txt
fi
if [ $Protocol = 1 ];thenecho "openssh使用ssh1協議,不符合要求" >> /tmp/${ipadd}_out.txt
fi#檢查保留歷時命令條數
HISTSIZE=`cat /etc/profile|grep HISTSIZE|head -1|awk -F[=] '{print $2}'`
if [ $HISTSIZE -eq 5 ];thenecho "保留歷時命令條數為$HISTSIZE,符合要求" >> /tmp/${ipadd}_out.txt
elseecho "保留歷時命令條數為$HISTSIZE,不符合要求,建議/etc/profile的HISTSIZE設置為5" >> /tmp/${ipadd}_out.txt
fi#檢查重要文件的屬性
flag=0
for ((x=1;x<=15;x++))
doapend=`lsattr /etc/passwd | cut -c $x`if [ $apend = "i" ];thenecho "/etc/passwd文件存在i安全屬性" >> /tmp/${ipadd}_out.txtflag=1fiif [ $apend = "a" ];thenecho "/etc/passwd文件存在a安全屬性" >> /tmp/${ipadd}_out.txtflag=1fi
done
if [ $flag = 0 ];thenecho "/etc/passwd文件不存在相關安全屬性,建議使用chattr +i或chattr +a防止/etc/passwd被刪除或修改" >> /tmp/${ipadd}_out.txt
fiflag=0
for ((x=1;x<=15;x++))
doapend=`lsattr /etc/shadow | cut -c $x`if [ $apend = "i" ];thenecho "/etc/shadow文件存在i安全屬性" >> /tmp/${ipadd}_out.txtflag=1fiif [ $apend = "a" ];thenecho "/etc/shadow文件存在a安全屬性" >> /tmp/${ipadd}_out.txtflag=1fi
done
if [ $flag = 0 ];thenecho "/etc/shadow文件不存在相關安全屬性,建議使用chattr +i或chattr +a防止/etc/shadow被刪除或修改" >> /tmp/${ipadd}_out.txt
fiflag=0
for ((x=1;x<=15;x++))
doapend=`lsattr /etc/gshadow | cut -c $x`if [ $apend = "i" ];thenecho "/etc/gshadow文件存在i安全屬性" >> /tmp/${ipadd}_out.txtflag=1fiif [ $apend = "a" ];thenecho "/etc/gshadow文件存在a安全屬性" >> /tmp/${ipadd}_out.txtflag=1fi
done
if [ $flag = 0 ];thenecho "/etc/gshadow文件不存在相關安全屬性,建議使用chattr +i或chattr +a防止/etc/gshadow被刪除或修改" >> /tmp/${ipadd}_out.txt
fiflag=0
for ((x=1;x<=15;x++))
doapend=`lsattr /etc/group | cut -c $x`if [ $apend = "i" ];thenecho "/etc/group文件存在i安全屬性" >> /tmp/${ipadd}_out.txtflag=1fiif [ $apend = "a" ];thenecho "/etc/group文件存在a安全屬性" >> /tmp/${ipadd}_out.txtflag=1fi
done
if [ $flag = 0 ];thenecho "/etc/group文件不存在相關安全屬性,建議使用chattr +i或chattr +a防止/etc/group被刪除或修改" >> /tmp/${ipadd}_out.txt
fi#檢查snmp默認團體口令public、private
if [ -f /etc/snmp/snmpd.conf ];thenpublic=`cat /etc/snmp/snmpd.conf | grep public | grep -v ^# | awk '{print $4}'`private=`cat /etc/snmp/snmpd.conf | grep private | grep -v ^# | awk '{print $4}'`if [ $public = "public" ];thenecho "發現snmp服務存在默認團體名public,不符合要求" >> /tmp/${ipadd}_out.txtfiif [[ $private = "private" ]];thenecho "發現snmp服務存在默認團體名private,不符合要求" >> /tmp/${ipadd}_out.txtfi
elseecho "snmp服務配置文件不存在,可能沒有運行snmp服務" 
fi#檢查主機信任關系
rhosts=`find / -name .rhosts`
rhosts2=`find / -name hosts.equiv`
for i in $rhosts
doif [ -f $i ];thenecho "找到信任主機關系,請查看${i}文件,請自行判斷是否屬于正常業務需求,建議刪除信任IP" >> /tmp/${ipadd}_out.txtfi 
done#檢查日志審核功能是否開啟
service auditd status
if [ $? = 0 ];thenecho "系統日志審核功能已開啟,符合要求" >> /tmp/${ipadd}_out.txt
fi
if [ $? = 3 ];thenecho "系統日志審核功能已關閉,不符合要求,建議service auditd start開啟" >> /tmp/${ipadd}_out.txt
fi#檢查磁盤動態空間,是否大于等于80%
space=`df -h | awk -F "[ %]+" 'NR!=1{print $5}'`
for i in $space
doif [ $i -ge 80 ];thenecho "警告!磁盤存儲容量大于80%,建議擴充磁盤容量或者刪除垃圾文件" >> /tmp/${ipadd}_out.txtfi
doneecho "***************************"
echo "***	檢查完畢      ***"
echo "***************************"

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/535400.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/535400.shtml
英文地址,請注明出處:http://en.pswp.cn/news/535400.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

LDAP命令介紹---dsreplication

LDAP命令介紹---dsreplication

可以使用此實用程序來配置服務器之間的復制, 以使服務器數據保持同步。要正確進行復制, 必須先使用 enable 子命令啟用復制, 然后再使用 initialize 子命令將一個服務器的內容初始化為另一個服務器的內容用法: dsreplication {子命令} {選項}可用子命令:disable對指定服務器中…
閱讀更多...
LDAP命令介紹---dsconfig

LDAP命令介紹---dsconfig

此實用程序可用于定義目錄服務器的基本配置 用法: dsconfig {子命令} {選項} 獲取子命令用法列表: --help-distribution 顯示與 分發 相關的子命令 --help-general-configuration 顯示與 一般配置 相關的子命令 --help-integration 顯示與 集成 相關的子命令 --…
閱讀更多...
LDAP命令介紹---dsconfig子命令----help-distribution顯示與分發相關的子命令

LDAP命令介紹---dsconfig子命令----help-distribution顯示與分發相關的子命令

此實用程序可用于定義目錄服務器的基本配置用法: dsconfig {子命令} {選項}可用子命令:create-distribution-algorithm創建分發算法create-distribution-partition創建分發分區create-workflow-element --type distribution創建分發工作流元素create-global-index創建全局索引…
閱讀更多...
LDAP命令介紹---ldappasswordmodify口令修改操作

LDAP命令介紹---ldappasswordmodify口令修改操作

此實用程序可用于在目錄服務器中執行 LDAP 口令修改操作用法: ldappasswordmodify {選項}其中 {選項} 包括:-a, --authzID {authzID}應更改口令的用戶條目的授權 ID -A, --provideDNForAuthzID將綁定 DN 用作口令修改操作的授權 ID -n, --newPassword {newPassword}為目標用戶…
閱讀更多...
LDAP命令介紹---dstune

LDAP命令介紹---dstune

此實用程序可用于幫助您優化 OUD 目錄服務器。 您可以選擇自動或基于其他標準 (例如, 內存限制或服務器將包含的數據) 優化服務器用法: dstune {子命令} {選項}可用子命令:data-based使用描述目錄服務器將包含的數據的信息優化服務器。使用 --ldifFile 可基于 LDIF 文件的內容…
閱讀更多...
LDAP命令介紹---dsreplication--initialize

LDAP命令介紹---dsreplication--initialize

initialize 將目標服務器中指定基礎 DN 下的數據內容初始化為源服務器的內容。要正確進行復制, 在啟用復制后必須執行該操作 (也可以使用 initialize-all 達到該目的) initialize-all 對于正在復制其內容的所有服務器, 將它們指定基礎 DN 下的數據內容初始化為指定…
閱讀更多...
LDAP命令介紹---dsreplication--enable:DISABLE

LDAP命令介紹---dsreplication--enable:DISABLE

enable 用法: dsreplication enable {選項} 更新服務器的配置以復制指定基礎 DN 下的數據。如果某個指定的服務器正在復制其他服務器中基礎 DN 下的數據, 執行此子命令將會更新所有服務器的配置 (因此, 對于每個添加到復制拓撲中的服務器, 將都能執行一次命令行)全局選項:請參…
閱讀更多...
LDAP命令介紹---import-ldif

LDAP命令介紹---import-ldif

[oracleoud bin]$ ./import-ldif --help 此實用程序可用于將 LDIF 數據導入目錄服務器后端用法: import-ldif {選項}其中 {選項} 包括:-l, --ldifFile {ldifFile}要導入的 LDIF 文件的路徑 -A, --templateFile {templateFile}用于生成導入數據的 MakeLDIF 模板的路徑 -a, --ap…
閱讀更多...
LDAP命令介紹---verify-index--驗證索引

LDAP命令介紹---verify-index--驗證索引

[oraclelocalhost bin]$ ./verify-index -b "DCCOM" telephoneNumber 在解析命令行參數時出現錯誤: 參數 "telephoneNumber" 沒有以一個或兩個破折號開頭, 并且不允許未命名的結尾參數 此實用程序可用于確保基于 Berkeley DB Java Edition 的后端中的索引…
閱讀更多...
LDAP----manage-account

LDAP----manage-account

[oraclelocalhost bin]$ ./manage-account -D "cndirectory manager" -j pwd-file get-all \ > > --targetDN uidkvaughan,ouPeople,dcexample,dccom 在解析命令行參數時出現錯誤: 無法接受為參數 -j 提供的值 "pwd-file": 為參數 bindpwfile 指定…
閱讀更多...
LDAP組的概念以及命令

LDAP組的概念以及命令

Oracle統一目錄支持組&#xff0c;組是作為單個對象管理的條目集合。通常&#xff0c;目錄管理員配置打印機組、軟件應用程序組、員工組等。在為一組用戶分配特殊訪問權限時&#xff0c;組尤其有用。例如&#xff0c;您可以配置一組訪問管理器&#xff0c;并分配權限&#xff0…
閱讀更多...
oracle中修改process

oracle中修改process

可以用如下命令查看數據庫連接的消耗情況 select b.MACHINE, b.PROGRAM, b.USERNAME, count(*) from v$process a, v$session b where a.ADDR b.PADDR and b.USERNAME is not null group by b.MACHINE, b.PROGRAM, b.USERNAME order by count(*) desc 在 oracle中&…
閱讀更多...
V$LICENSE表結構

V$LICENSE表結構

V$LICENSE V$LICENSE 顯示有關許可限制的信息。 列名 數據類型 描述 SESSIONS_MAX NUMBER 實例允許的最大并發用戶會話數 SESSIONS_WARNING NUMBER 實例的并發用戶會話的警告限制 SESSIONS_CURRENT NUMBER 當前并發用戶會話數 SESSIONS_HIGHWATER NUMBER 自實…
閱讀更多...
升級ssl和ssh

升級ssl和ssh

#/bin/bash#需要手動修改的變量 version"ssh_8.6p1" #定義版本號 soft_dir$(cd "$(dirname "$0")"; pwd) # 上傳安裝包的目錄 ssl_media"openssl-1.1.1k.tar.gz" #ssl軟件包名 ssh_media"openssh-8.6p1.tar.gz" # ssh軟件…
閱讀更多...
zabbix5.2安裝-linux

zabbix5.2安裝-linux

一.編譯安裝httpd1.刪除舊版httprpm -qa | grep httpd rpm -e --nodeps rpm -qa | grep httpd find / -name httpd --delete find / -name httpd -help find / -name httpd -exec rm -rf {} \; 2.安裝httpd-2.4.38.tar.gz http://httpd.apache.org/download 安裝apr-1.6.2.…
閱讀更多...
安裝python3.9

安裝python3.9

GCC版本 這個版本的編譯器不適合編譯Python3.9&#xff0c;在編譯時會產生如下的錯誤。我們用這個老版本編譯器編譯一個新的GCC 9.2版。 Could not import runpy module Traceback (most recent call last):File "Python-3.8.1/Lib/runpy.py", line 15, in <mod…
閱讀更多...
備份程序包腳本

備份程序包腳本

#! /bin/bash if [ $# ! 1 ];thenecho "USAGE: sh $0 /路徑/包名"exit 1 elsePackage_Path_Full$1Dir_Path${Package_Path_Full%/*}Package_Name${Package_Path_Full##*/}if [ -e $Package_Path_Full ];thenif [ -d $Dir_Path/bak ];thenif [ -d $Dir_Path/bak/date …
閱讀更多...
Oracle數據庫游標數總結

Oracle數據庫游標數總結

各用戶的打開游標總數 SELECT A.USER_NAME, COUNT(*) FROM V$OPEN_CURSOR A GROUP BY A.USER_NAME; 查找數據庫各用戶各個終端的緩存游標數 SELECT AA.USERNAME, AA.MACHINE, SUM(AA.VALUE) FROM ( SELECT A.VALUE, S.MACHINE, S.USERNAME FROM V$SESSTAT A, V$STATNAME B, V…
閱讀更多...
獲取zabbix監控數據

獲取zabbix監控數據

#!/usr/bin/python3 # Date: 2020/8/20 14:16 # Author: zhangcheng # email: 3359957053qq.com # -*- coding: utf-8 -*-import pymysql import time,datetime import math#zabbix數據庫信息&#xff1a; zdbhost "192.168.63.141" zdbuser "zabbix" zd…
閱讀更多...
logstash安裝

logstash安裝

下載最新版logstash https://www.elastic.co/cn/downloads/logstash 解壓縮 tar zxvf logstash-7.12.1-linux-x86_64.tar.gz 下載jdk1.8 tar zxvf jdk-8u291-linux-x64.tar.gz 編輯啟動文件logstash、logstash.lib.sh、logstash-plugin 在首行添加 export JAVA_C…
閱讀更多...
最新文章

Copyright @ 2022~2023