linux的基线检查脚本
发表于:2025-01-25 作者:千家信息网编辑
千家信息网最后更新 2025年01月25日,本篇内容主要讲解"linux的基线检查脚本",感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习"linux的基线检查脚本"吧!#! /bin/bash #vesi
千家信息网最后更新 2025年01月25日linux的基线检查脚本
本篇内容主要讲解"linux的基线检查脚本",感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习"linux的基线检查脚本"吧!
#! /bin/bash #vesion 1.0#author by (魔法剑客)ipadd=`ifconfig -a | grep Bcast | awk -F "[ :]+" '{print $4}' | tr "\n" "_"`cat <> "/tmp/${ipadd}_checkResult.txt"user_id=`whoami`echo "当前扫描用户:${user_id}" >> "/tmp/${ipadd}_checkResult.txt"scanner_time=`date '+%Y-%m-%d %H:%M:%S'`echo "当前扫描时间:${scanner_time}" >> "/tmp/${ipadd}_checkResult.txt"echo "***************************"echo "账号策略检查中..."echo "***************************"#编号:SBL-Linux-02-01-01 #项目:帐号与口令-用户口令设置#合格:Y;不合格:N#不合格地方passmax=`cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v ^# | awk '{print $2}'`passmin=`cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v ^# | awk '{print $2}'`passlen=`cat /etc/login.defs | grep PASS_MIN_LEN | grep -v ^# | awk '{print $2}'`passage=`cat /etc/login.defs | grep PASS_WARN_AGE | grep -v ^# | awk '{print $2}'`echo "SBL-Linux-02-01-01:" >> "/tmp/${ipadd}_checkResult.txt"if [ $passmax -le 90 -a $passmax -gt 0 ];then echo "Y:口令生存周期为${passmax}天,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令生存周期为${passmax}天,不符合要求,建议设置不大于90天" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $passmin -ge 6 ];then echo "Y:口令更改最小时间间隔为${passmin}天,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令更改最小时间间隔为${passmin}天,不符合要求,建议设置大于等于6天" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $passlen -ge 8 ];then echo "Y:口令最小长度为${passlen},符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令最小长度为${passlen},不符合要求,建议设置最小长度大于等于8" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $passage -ge 30 -a $passage -lt $passmax ];then echo "Y:口令过期警告时间天数为${passage},符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令过期警告时间天数为${passage},不符合要求,建议设置大于等于30并小于口令生存周期" >> /"/tmp/${ipadd}_checkResult.txt"fiecho "***************************"echo "账号是否会主动注销检查中..."echo "***************************"checkTimeout=$(cat /etc/profile | grep TMOUT | awk -F[=] '{print $2}')if [ $? -eq 0 ];then TMOUT=`cat /etc/profile | grep TMOUT | awk -F[=] '{print $2}'` if [ $TMOUT -le 600 -a $TMOUT -ge 10 ];then echo "Y:账号超时时间${TMOUT}秒,符合要求" >> "/tmp/${ipadd}_checkResult.txt" else echo "N:账号超时时间${TMOUT}秒,不符合要求,建议设置小于600秒" >> "/tmp/${ipadd}_checkResult.txt" fielse echo "N:账号超时不存在自动注销,不符合要求,建议设置小于600秒" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-02 #项目:帐号与口令-root用户远程登录限制#合格:Y;不合格:N#不合格地方echo "***************************"echo "检查root用户是否能远程登录限制..."echo "***************************"echo "SBL-Linux-02-01-02:" >> "/tmp/${ipadd}_checkResult.txt"remoteLogin=$(cat /etc/ssh/sshd_config | grep -v ^# |grep "PermitRootLogin no")if [ $? -eq 0 ];then echo "Y:已经设置远程root不能登陆,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:已经设置远程root能登陆,不符合要求,建议/etc/ssh/sshd_config添加PermitRootLogin no" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-03#项目:帐号与口令-检查是否存在除root之外UID为0的用户#合格:Y;不合格:N#不合格地方#查找非root账号UID为0的账号echo "SBL-Linux-02-01-03:" >> "/tmp/${ipadd}_checkResult.txt"UIDS=`awk -F[:] 'NR!=1{print $3}' /etc/passwd`flag=0for i in $UIDSdo if [ $i = 0 ];then echo "N:存在非root账号的账号UID为0,不符合要求" >> "/tmp/${ipadd}_checkResult.txt" else flag=1 fidoneif [ $flag = 1 ];then echo "Y:不存在非root账号的账号UID为0,符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-04#项目:帐号与口令-检查telnet服务是否开启#合格:Y;不合格:N#不合格地方#检查telnet是否开启echo "SBL-Linux-02-01-04:" >> "/tmp/${ipadd}_checkResult.txt"telnetd=`cat /etc/xinetd.d/telnet | grep disable | awk '{print $3}'`if [ "$telnetd"x = "yes"x ]; then echo "N:检测到telnet服务开启,不符合要求,建议关闭telnet" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-05#项目:帐号与口令-root用户环境变量的安全性#合格:Y;不合格:N#不合格地方#检查目录权限是否为777echo "SBL-Linux-02-01-05:" >> "/tmp/${ipadd}_checkResult.txt"dirPri=$(find $(echo $PATH | tr ':' ' ') -type d \( -perm -0777 \) 2> /dev/null)if [ -z "$dirPri" ] then echo "Y:目录权限无777的,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:文件${dirPri}目录权限为777的,不符合要求。" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-06#项目:帐号与口令-远程连接的安全性配置#合格:Y;不合格:N#不合格地方echo "SBL-Linux-02-01-06:" >> "/tmp/${ipadd}_checkResult.txt"fileNetrc=`find / -xdev -mount -name .netrc -print 2> /dev/null`if [ -z "${fileNetrc}" ];then echo "Y:不存在.netrc文件,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:存在.netrc文件,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fifileRhosts=`find / -xdev -mount -name .rhosts -print 2> /dev/null`if [ -z "$fileRhosts" ];then echo "Y:不存在.rhosts文件,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:存在.rhosts文件,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-07#项目:帐号与口令-用户的umask安全配置#合格:Y;不合格:N#不合格地方#检查umask设置echo "SBL-Linux-02-01-07:" >> "/tmp/${ipadd}_checkResult.txt"umask1=`cat /etc/profile | grep umask | grep -v ^# | awk '{print $2}'`umask2=`cat /etc/csh.cshrc | grep umask | grep -v ^# | awk '{print $2}'`umask3=`cat /etc/bashrc | grep umask | grep -v ^# | awk 'NR!=1{print $2}'`flags=0for i in $umask1do if [ $i != "027" ];then echo "N:/etc/profile文件中所所设置的umask为${i},不符合要求,建议设置为027" >> "/tmp/${ipadd}_checkResult.txt" flags=1 break fidoneif [ $flags == 0 ];then echo "Y:/etc/profile文件中所设置的umask为${i},符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi flags=0for i in $umask2do if [ $i != "027" ];then echo "N:/etc/csh.cshrc文件中所所设置的umask为${i},不符合要求,建议设置为027" >> "/tmp/${ipadd}_checkResult.txt" flags=1 break fidone if [ $flags == 0 ];then echo "Y:/etc/csh.cshrc文件中所设置的umask为${i},符合要求" >> "/tmp/${ipadd}_checkResult.txt"fiflags=0for i in $umask3do if [ $i != "027" ];then echo "N:/etc/bashrc文件中所设置的umask为${i},不符合要求,建议设置为027" >> "/tmp/${ipadd}_checkResult.txt" flags=1 break fidoneif [ $flags == 0 ];then echo "Y:/etc/bashrc文件中所设置的umask为${i},符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-08#项目:帐号与口令-grub和lilo密码是否设置检查#合格:Y;不合格:N#不合格地方#grub和lilo密码是否设置检查echo "SBL-Linux-02-01-08:" >> "/tmp/${ipadd}_checkResult.txt"grubfile=$(cat /etc/grub.conf | grep password)if [ $? -eq 0 ];then echo "Y:已设置grub密码,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:没有设置grub密码,不符合要求,建议设置grub密码" >> "/tmp/${ipadd}_checkResult.txt"fililo=$(cat /etc/lilo.conf | grep password)if [ $? -eq 0 ];then echo "Y:已设置lilo密码,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:没有设置lilo密码,不符合要求,建议设置lilo密码" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-02-01#项目:文件系统-重要目录和文件的权限设置#合格:Y;不合格:N#不合格地方echo "SBL-Linux-02-02-01:" >> "/tmp/${ipadd}_checkResult.txt"echo "***************************"echo "检查重要文件权限中..."echo "***************************"file1=`ls -l /etc/passwd | awk '{print $1}'`file2=`ls -l /etc/shadow | awk '{print $1}'`file3=`ls -l /etc/group | awk '{print $1}'`file4=`ls -l /etc/securetty | awk '{print $1}'`file5=`ls -l /etc/services | awk '{print $1}'`file6=`ls -l /etc/xinetd.conf | awk '{print $1}'`file7=`ls -l /etc/grub.conf | awk '{print $1}'`file8=`ls -l /etc/lilo.conf | awk '{print $1}'`#检测文件权限为400的文件if [ $file2 = "-r--------" ];then echo "Y:/etc/shadow文件权限为400,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/shadow文件权限不为400,不符合要求,建议设置权限为400" >> "/tmp/${ipadd}_checkResult.txt"fi#检测文件权限为600的文件if [ $file4 = "-rw-------" ];then echo "Y:/etc/security文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/security文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file6 = "-rw-------" ];then echo "Y:/etc/xinetd.conf文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/xinetd.conf文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file7 = "-rw-------" ];then echo "Y:/etc/grub.conf文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/grub.conf文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt"fiif [ -f /etc/lilo.conf ];then if [ $file8 = "-rw-------" ];then echo "Y:/etc/lilo.conf文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt" else echo "N:/etc/lilo.conf文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt" fi else echo "N:/etc/lilo.conf文件夹不存在"fi#检测文件权限为644的文件if [ $file1 = "-rw-r--r--" ];then echo "Y:/etc/passwd文件权限为644,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/passwd文件权限不为644,不符合要求,建议设置权限为644" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file5 = "-rw-r--r--" ];then echo "Y:/etc/services文件权限为644,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/services文件权限不为644,不符合要求,建议设置权限为644" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file3 = "-rw-r--r--" ];then echo "Y:/etc/group文件权限为644,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/group文件权限不为644,不符合要求,建议设置权限为644" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-02-02#项目:文件系统-查找未授权的SUID/SGID文件#合格:Y;不合格:N#不合格地方echo "SBL-Linux-02-02-02:" >> "/tmp/${ipadd}_checkResult.txt"unauthorizedfile=`find / \( -perm -04000 -o -perm -02000 \) -type f `echo "C:文件${unauthorizedfile}设置了SUID/SGID,请检查是否授权" >> "/tmp/${ipadd}_checkResult.txt"#编号:SBL-Linux-02-02-03#项目:文件系统-检查任何人都有写权限的目录#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-02-02-03:" >> "/tmp/${ipadd}_checkResult.txt"checkWriteDre=$(find / -xdev -mount -type d \( -perm -0002 -a ! -perm -1000 \) 2> /dev/null)if [ -z "${checkWriteDre}" ];then echo "Y:不存在任何人都有写权限的目录,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:${checkWriteDre}目录任何人都可以写,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-02-02-04#项目:文件系统-检查任何人都有写权限的文件#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-02-02-04:" >> "/tmp/${ipadd}_checkResult.txt"checkWriteFile=$(find / -xdev -mount -type f \( -perm -0002 -a ! -perm -1000 \) 2> /dev/null)if [ -z "${checkWriteFile}" ];then echo "Y:不存在任何人都有写权限的目录,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:${checkWriteFile}目录任何人都可以写,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-02-02-05#项目:文件系统-检查异常隐含文件#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-02-02-05:" >> "/tmp/${ipadd}_checkResult.txt"hideFile=$(find / -xdev -mount \( -name "..*" -o -name "...*" \) 2> /dev/null)if [ -z "${hideFile}" ];then echo "Y:不存在隐藏文件,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:${hideFile}是隐藏文件,建议审视" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-03-01-01 #项目:日志审计-syslog登录事件记录#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-03-01-01:" >> "/tmp/${ipadd}_checkResult.txt"recodeFile=$(cat /etc/syslog.conf)if [ ! -z "${recodeFile}" ];then logFile=$(cat /etc/syslog.conf | grep -V ^# | grep authpriv.*) if [ ! -z "${logFile}" ];then echo "Y:存在保存authpirv的日志文件" >> "/tmp/${ipadd}_checkResult.txt" else echo "N:不存在保存authpirv的日志文件" >> "/tmp/${ipadd}_checkResult.txt" fielse echo "N:不存在/etc/syslog.conf文件,建议对所有登录事件都记录" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-03-01-02#项目:系统文件-检查日志审核功能是否开启#合格:Y;不合格:N;检查:Cecho "SBL-Linux-03-01-02:" >> "/tmp/${ipadd}_checkResult.txt"auditdStatus=$(service auditd status 2> /dev/null)if [ $? = 0 ];then echo "Y:系统日志审核功能已开启,符合要求" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $? = 3 ];then echo "N:系统日志审核功能已关闭,不符合要求,建议service auditd start开启" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-04-01-01 #项目:系统文件-系统core dump状态#合格:Y;不合格:N;检查:Cecho "SBL-Linux-04-01-01:" >> "/tmp/${ipadd}_checkResult.txt"limitsFile=$(cat /etc/security/limits.conf | grep -V ^# | grep core)if [ $? -eq 0 ];then soft=`cat /etc/security/limits.conf | grep -V ^# | grep core | awk {print $2}` for i in $soft do if [ "$i"x = "soft"x ];then echo "Y:* soft core 0 已经设置" >> "/tmp/${ipadd}_checkResult.txt" fi if [ "$i"x = "hard"x ];then echo "Y:* hard core 0 已经设置" >> "/tmp/${ipadd}_checkResult.txt" fi doneelse echo "N:没有设置core,建议在/etc/security/limits.conf中添加* soft core 0和* hard core 0" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-04-01-02#项目:系统文件-检查磁盘动态空间,是否大于等于80%#合格:Y;不合格:N;检查:C#echo "SBL-Linux-04-01-02:" >> "/tmp/${ipadd}_checkResult.txt"space=$(df -h | awk -F "[ %]+" 'NR!=1{print $5}')for i in $spacedo if [ $i -ge 80 ];then echo "C:警告!磁盘存储容量大于80%,建议扩充磁盘容量或者删除垃圾文件" >> "/tmp/${ipadd}_checkResult.txt" fidone 到此,相信大家对"linux的基线检查脚本"有了更深的了解,不妨来实际操作一番吧!这里是网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!
文件
权限
检查
建议
口令
项目
地方
系统
账号
目录
密码
帐号
时间
用户
日志
最小
C#
检测
登录
基线
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
贵州银行每个月扣多少服务器
北京c语言软件开发价钱
20暨南大学网络安全复试
hp服务器维保
我的世界更新后服务器版本过低
qt开发常用的软件开发框架
魔兽世界轮回服开了几个新服务器
光遇怎么知道在哪个服务器
广州精南软件开发公司地址
学校网络安全 注意事项
数据库与实际使用区别
软件开发系统生产商
江苏通用软件开发定做价格
极玩致乐网络技术有限公司
支付宝数据网络技术
铁路网络安全处理
省级网络安全应急指挥中心建设
马士兵网络安全课程值得买吗
网络安全法隐患
软件开发一般工资多少可以跳槽
数据库原理及应用第2版姜代红
教职工宣传网络安全活动总结
国家网络安全法第七条
美国的网络安全攻防期
商用车金融风险警示数据库
网络安全实践最佳方案
网络安全加密方式的组成结构
软件开发设计制作公司
网站数据库连接错误
沙盘推演 网络安全
