linux的基线检查脚本
发表于:2024-10-15 作者:千家信息网编辑
千家信息网最后更新 2024年10月15日,本篇内容主要讲解"linux的基线检查脚本",感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习"linux的基线检查脚本"吧!#! /bin/bash #vesi
千家信息网最后更新 2024年10月15日linux的基线检查脚本
本篇内容主要讲解"linux的基线检查脚本",感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习"linux的基线检查脚本"吧!
#! /bin/bash #vesion 1.0#author by (魔法剑客)ipadd=`ifconfig -a | grep Bcast | awk -F "[ :]+" '{print $4}' | tr "\n" "_"`cat <> "/tmp/${ipadd}_checkResult.txt"user_id=`whoami`echo "当前扫描用户:${user_id}" >> "/tmp/${ipadd}_checkResult.txt"scanner_time=`date '+%Y-%m-%d %H:%M:%S'`echo "当前扫描时间:${scanner_time}" >> "/tmp/${ipadd}_checkResult.txt"echo "***************************"echo "账号策略检查中..."echo "***************************"#编号:SBL-Linux-02-01-01 #项目:帐号与口令-用户口令设置#合格:Y;不合格:N#不合格地方passmax=`cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v ^# | awk '{print $2}'`passmin=`cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v ^# | awk '{print $2}'`passlen=`cat /etc/login.defs | grep PASS_MIN_LEN | grep -v ^# | awk '{print $2}'`passage=`cat /etc/login.defs | grep PASS_WARN_AGE | grep -v ^# | awk '{print $2}'`echo "SBL-Linux-02-01-01:" >> "/tmp/${ipadd}_checkResult.txt"if [ $passmax -le 90 -a $passmax -gt 0 ];then echo "Y:口令生存周期为${passmax}天,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令生存周期为${passmax}天,不符合要求,建议设置不大于90天" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $passmin -ge 6 ];then echo "Y:口令更改最小时间间隔为${passmin}天,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令更改最小时间间隔为${passmin}天,不符合要求,建议设置大于等于6天" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $passlen -ge 8 ];then echo "Y:口令最小长度为${passlen},符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令最小长度为${passlen},不符合要求,建议设置最小长度大于等于8" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $passage -ge 30 -a $passage -lt $passmax ];then echo "Y:口令过期警告时间天数为${passage},符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:口令过期警告时间天数为${passage},不符合要求,建议设置大于等于30并小于口令生存周期" >> /"/tmp/${ipadd}_checkResult.txt"fiecho "***************************"echo "账号是否会主动注销检查中..."echo "***************************"checkTimeout=$(cat /etc/profile | grep TMOUT | awk -F[=] '{print $2}')if [ $? -eq 0 ];then TMOUT=`cat /etc/profile | grep TMOUT | awk -F[=] '{print $2}'` if [ $TMOUT -le 600 -a $TMOUT -ge 10 ];then echo "Y:账号超时时间${TMOUT}秒,符合要求" >> "/tmp/${ipadd}_checkResult.txt" else echo "N:账号超时时间${TMOUT}秒,不符合要求,建议设置小于600秒" >> "/tmp/${ipadd}_checkResult.txt" fielse echo "N:账号超时不存在自动注销,不符合要求,建议设置小于600秒" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-02 #项目:帐号与口令-root用户远程登录限制#合格:Y;不合格:N#不合格地方echo "***************************"echo "检查root用户是否能远程登录限制..."echo "***************************"echo "SBL-Linux-02-01-02:" >> "/tmp/${ipadd}_checkResult.txt"remoteLogin=$(cat /etc/ssh/sshd_config | grep -v ^# |grep "PermitRootLogin no")if [ $? -eq 0 ];then echo "Y:已经设置远程root不能登陆,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:已经设置远程root能登陆,不符合要求,建议/etc/ssh/sshd_config添加PermitRootLogin no" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-03#项目:帐号与口令-检查是否存在除root之外UID为0的用户#合格:Y;不合格:N#不合格地方#查找非root账号UID为0的账号echo "SBL-Linux-02-01-03:" >> "/tmp/${ipadd}_checkResult.txt"UIDS=`awk -F[:] 'NR!=1{print $3}' /etc/passwd`flag=0for i in $UIDSdo if [ $i = 0 ];then echo "N:存在非root账号的账号UID为0,不符合要求" >> "/tmp/${ipadd}_checkResult.txt" else flag=1 fidoneif [ $flag = 1 ];then echo "Y:不存在非root账号的账号UID为0,符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-04#项目:帐号与口令-检查telnet服务是否开启#合格:Y;不合格:N#不合格地方#检查telnet是否开启echo "SBL-Linux-02-01-04:" >> "/tmp/${ipadd}_checkResult.txt"telnetd=`cat /etc/xinetd.d/telnet | grep disable | awk '{print $3}'`if [ "$telnetd"x = "yes"x ]; then echo "N:检测到telnet服务开启,不符合要求,建议关闭telnet" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-05#项目:帐号与口令-root用户环境变量的安全性#合格:Y;不合格:N#不合格地方#检查目录权限是否为777echo "SBL-Linux-02-01-05:" >> "/tmp/${ipadd}_checkResult.txt"dirPri=$(find $(echo $PATH | tr ':' ' ') -type d \( -perm -0777 \) 2> /dev/null)if [ -z "$dirPri" ] then echo "Y:目录权限无777的,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:文件${dirPri}目录权限为777的,不符合要求。" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-06#项目:帐号与口令-远程连接的安全性配置#合格:Y;不合格:N#不合格地方echo "SBL-Linux-02-01-06:" >> "/tmp/${ipadd}_checkResult.txt"fileNetrc=`find / -xdev -mount -name .netrc -print 2> /dev/null`if [ -z "${fileNetrc}" ];then echo "Y:不存在.netrc文件,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:存在.netrc文件,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fifileRhosts=`find / -xdev -mount -name .rhosts -print 2> /dev/null`if [ -z "$fileRhosts" ];then echo "Y:不存在.rhosts文件,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:存在.rhosts文件,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-07#项目:帐号与口令-用户的umask安全配置#合格:Y;不合格:N#不合格地方#检查umask设置echo "SBL-Linux-02-01-07:" >> "/tmp/${ipadd}_checkResult.txt"umask1=`cat /etc/profile | grep umask | grep -v ^# | awk '{print $2}'`umask2=`cat /etc/csh.cshrc | grep umask | grep -v ^# | awk '{print $2}'`umask3=`cat /etc/bashrc | grep umask | grep -v ^# | awk 'NR!=1{print $2}'`flags=0for i in $umask1do if [ $i != "027" ];then echo "N:/etc/profile文件中所所设置的umask为${i},不符合要求,建议设置为027" >> "/tmp/${ipadd}_checkResult.txt" flags=1 break fidoneif [ $flags == 0 ];then echo "Y:/etc/profile文件中所设置的umask为${i},符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi flags=0for i in $umask2do if [ $i != "027" ];then echo "N:/etc/csh.cshrc文件中所所设置的umask为${i},不符合要求,建议设置为027" >> "/tmp/${ipadd}_checkResult.txt" flags=1 break fidone if [ $flags == 0 ];then echo "Y:/etc/csh.cshrc文件中所设置的umask为${i},符合要求" >> "/tmp/${ipadd}_checkResult.txt"fiflags=0for i in $umask3do if [ $i != "027" ];then echo "N:/etc/bashrc文件中所设置的umask为${i},不符合要求,建议设置为027" >> "/tmp/${ipadd}_checkResult.txt" flags=1 break fidoneif [ $flags == 0 ];then echo "Y:/etc/bashrc文件中所设置的umask为${i},符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-01-08#项目:帐号与口令-grub和lilo密码是否设置检查#合格:Y;不合格:N#不合格地方#grub和lilo密码是否设置检查echo "SBL-Linux-02-01-08:" >> "/tmp/${ipadd}_checkResult.txt"grubfile=$(cat /etc/grub.conf | grep password)if [ $? -eq 0 ];then echo "Y:已设置grub密码,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:没有设置grub密码,不符合要求,建议设置grub密码" >> "/tmp/${ipadd}_checkResult.txt"fililo=$(cat /etc/lilo.conf | grep password)if [ $? -eq 0 ];then echo "Y:已设置lilo密码,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:没有设置lilo密码,不符合要求,建议设置lilo密码" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-02-01#项目:文件系统-重要目录和文件的权限设置#合格:Y;不合格:N#不合格地方echo "SBL-Linux-02-02-01:" >> "/tmp/${ipadd}_checkResult.txt"echo "***************************"echo "检查重要文件权限中..."echo "***************************"file1=`ls -l /etc/passwd | awk '{print $1}'`file2=`ls -l /etc/shadow | awk '{print $1}'`file3=`ls -l /etc/group | awk '{print $1}'`file4=`ls -l /etc/securetty | awk '{print $1}'`file5=`ls -l /etc/services | awk '{print $1}'`file6=`ls -l /etc/xinetd.conf | awk '{print $1}'`file7=`ls -l /etc/grub.conf | awk '{print $1}'`file8=`ls -l /etc/lilo.conf | awk '{print $1}'`#检测文件权限为400的文件if [ $file2 = "-r--------" ];then echo "Y:/etc/shadow文件权限为400,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/shadow文件权限不为400,不符合要求,建议设置权限为400" >> "/tmp/${ipadd}_checkResult.txt"fi#检测文件权限为600的文件if [ $file4 = "-rw-------" ];then echo "Y:/etc/security文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/security文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file6 = "-rw-------" ];then echo "Y:/etc/xinetd.conf文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/xinetd.conf文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file7 = "-rw-------" ];then echo "Y:/etc/grub.conf文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/grub.conf文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt"fiif [ -f /etc/lilo.conf ];then if [ $file8 = "-rw-------" ];then echo "Y:/etc/lilo.conf文件权限为600,符合要求" >> "/tmp/${ipadd}_checkResult.txt" else echo "N:/etc/lilo.conf文件权限不为600,不符合要求,建议设置权限为600" >> "/tmp/${ipadd}_checkResult.txt" fi else echo "N:/etc/lilo.conf文件夹不存在"fi#检测文件权限为644的文件if [ $file1 = "-rw-r--r--" ];then echo "Y:/etc/passwd文件权限为644,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/passwd文件权限不为644,不符合要求,建议设置权限为644" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file5 = "-rw-r--r--" ];then echo "Y:/etc/services文件权限为644,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/services文件权限不为644,不符合要求,建议设置权限为644" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $file3 = "-rw-r--r--" ];then echo "Y:/etc/group文件权限为644,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:/etc/group文件权限不为644,不符合要求,建议设置权限为644" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-02-02-02#项目:文件系统-查找未授权的SUID/SGID文件#合格:Y;不合格:N#不合格地方echo "SBL-Linux-02-02-02:" >> "/tmp/${ipadd}_checkResult.txt"unauthorizedfile=`find / \( -perm -04000 -o -perm -02000 \) -type f `echo "C:文件${unauthorizedfile}设置了SUID/SGID,请检查是否授权" >> "/tmp/${ipadd}_checkResult.txt"#编号:SBL-Linux-02-02-03#项目:文件系统-检查任何人都有写权限的目录#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-02-02-03:" >> "/tmp/${ipadd}_checkResult.txt"checkWriteDre=$(find / -xdev -mount -type d \( -perm -0002 -a ! -perm -1000 \) 2> /dev/null)if [ -z "${checkWriteDre}" ];then echo "Y:不存在任何人都有写权限的目录,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:${checkWriteDre}目录任何人都可以写,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-02-02-04#项目:文件系统-检查任何人都有写权限的文件#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-02-02-04:" >> "/tmp/${ipadd}_checkResult.txt"checkWriteFile=$(find / -xdev -mount -type f \( -perm -0002 -a ! -perm -1000 \) 2> /dev/null)if [ -z "${checkWriteFile}" ];then echo "Y:不存在任何人都有写权限的目录,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:${checkWriteFile}目录任何人都可以写,不符合要求" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-02-02-05#项目:文件系统-检查异常隐含文件#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-02-02-05:" >> "/tmp/${ipadd}_checkResult.txt"hideFile=$(find / -xdev -mount \( -name "..*" -o -name "...*" \) 2> /dev/null)if [ -z "${hideFile}" ];then echo "Y:不存在隐藏文件,符合要求" >> "/tmp/${ipadd}_checkResult.txt"else echo "N:${hideFile}是隐藏文件,建议审视" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-03-01-01 #项目:日志审计-syslog登录事件记录#合格:Y;不合格:N;检查:C#不合格地方echo "SBL-Linux-03-01-01:" >> "/tmp/${ipadd}_checkResult.txt"recodeFile=$(cat /etc/syslog.conf)if [ ! -z "${recodeFile}" ];then logFile=$(cat /etc/syslog.conf | grep -V ^# | grep authpriv.*) if [ ! -z "${logFile}" ];then echo "Y:存在保存authpirv的日志文件" >> "/tmp/${ipadd}_checkResult.txt" else echo "N:不存在保存authpirv的日志文件" >> "/tmp/${ipadd}_checkResult.txt" fielse echo "N:不存在/etc/syslog.conf文件,建议对所有登录事件都记录" >> "/tmp/${ipadd}_checkResult.txt"fi #编号:SBL-Linux-03-01-02#项目:系统文件-检查日志审核功能是否开启#合格:Y;不合格:N;检查:Cecho "SBL-Linux-03-01-02:" >> "/tmp/${ipadd}_checkResult.txt"auditdStatus=$(service auditd status 2> /dev/null)if [ $? = 0 ];then echo "Y:系统日志审核功能已开启,符合要求" >> "/tmp/${ipadd}_checkResult.txt"fiif [ $? = 3 ];then echo "N:系统日志审核功能已关闭,不符合要求,建议service auditd start开启" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-04-01-01 #项目:系统文件-系统core dump状态#合格:Y;不合格:N;检查:Cecho "SBL-Linux-04-01-01:" >> "/tmp/${ipadd}_checkResult.txt"limitsFile=$(cat /etc/security/limits.conf | grep -V ^# | grep core)if [ $? -eq 0 ];then soft=`cat /etc/security/limits.conf | grep -V ^# | grep core | awk {print $2}` for i in $soft do if [ "$i"x = "soft"x ];then echo "Y:* soft core 0 已经设置" >> "/tmp/${ipadd}_checkResult.txt" fi if [ "$i"x = "hard"x ];then echo "Y:* hard core 0 已经设置" >> "/tmp/${ipadd}_checkResult.txt" fi doneelse echo "N:没有设置core,建议在/etc/security/limits.conf中添加* soft core 0和* hard core 0" >> "/tmp/${ipadd}_checkResult.txt"fi#编号:SBL-Linux-04-01-02#项目:系统文件-检查磁盘动态空间,是否大于等于80%#合格:Y;不合格:N;检查:C#echo "SBL-Linux-04-01-02:" >> "/tmp/${ipadd}_checkResult.txt"space=$(df -h | awk -F "[ %]+" 'NR!=1{print $5}')for i in $spacedo if [ $i -ge 80 ];then echo "C:警告!磁盘存储容量大于80%,建议扩充磁盘容量或者删除垃圾文件" >> "/tmp/${ipadd}_checkResult.txt" fidone
到此,相信大家对"linux的基线检查脚本"有了更深的了解,不妨来实际操作一番吧!这里是网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!
文件
权限
检查
建议
口令
项目
地方
系统
账号
目录
密码
帐号
时间
用户
日志
最小
C#
检测
登录
基线
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
深圳物流软件开发前十名
最新博士论文数据库
萝岗区软件开发职高
手机php数据库
多种软件开发
3d 打印 软件开发
华为工业网络安全
海乐打印机数据库
网络安全信息管理与评估
计算机的网络安全的目标
达梦数据库用什么客户端好
数据库技术的三个阶段
如何将压缩包上传到服务器上
吉林八小时外网络技术
网络安全防护功能怎么实现的
服务器插件管理
龙软数据库怎么连接
人际网络安全手抄报
数据库的连接技术
access直接导出数据库
网络安全常识基本知识
数字媒体和网络安全哪个好
软件开发硬性指标
青岛编程软件开发团队
软件开发策划书团队介绍
单台服务器并发能力如何最大调优
聊城网络安全产品认证
2021网络安全绘画宣传
凉薄网络技术有限公司
软件开发技术专利