lynis check log
2019独角兽企业重金招聘Python工程师标准>>>
lynis check
System Tools
检查系统可执行程序环境变量路径
Boot and services
GRUB2 菜单项进入单用户模式已经设置密码
其他是检查开始运行的服务,目前是运行24项服务,开机启动是21项服务
- 服务脚本目录: /lib/systemd/system/
- service文件权限: 0644
Kernel
运行级别、已装入模块、内核配置和核心转储
- 检查运行级别 RUNLEVEL 5
- 检查内核版本类型,以及加载模块数量
- 检查内核config文件,default I/O kernel scheduler,
- core dumps 配置,默认没有开启,
- setuid core dumps 配置为默认
- 检查是否需要重启
Kernel Hardening
- Comparing sysctl key pairs with scan profile ,每一项后面是lynis给出的建议值,例如 (exp: 1)
- kernel.core_uses_pid (exp: 1) 每个消息队列的大小(单位:字节)限制 - kernel.ctrl-alt-del (exp: 0) 是否捕获ctrl+alt+delete按键组合时的信号, 0,捕获,1,不捕获- kernel.sysrq (exp: 0) 是否开启SysRq功能, 0,禁用,1,启用 - net.ipv4.conf.all.accept_redirects (exp: 0) ICMP接收重定向报文(全局设置) 0,忽略, 1 ,转发- net.ipv4.conf.all.accept_source_route (exp: 0) 接受所有源地址信息包(全局设置) 0,丢弃, 1 ,转发- net.ipv4.conf.all.bootp_relay (exp: 0) - net.ipv4.conf.all.forwarding (exp: 0) 配置主机网络接口的行为, 0 禁止转发,1,允许转发- net.ipv4.conf.all.log_martians (exp: 1) 将包含非法地址信息的ip包记录到内核日志(全局设置) 0 关闭, 1 开启- net.ipv4.conf.all.mc_forwarding (exp: 0) 多播路由 0 关闭, 1 开启- net.ipv4.conf.all.proxy_arp (exp: 0) ARP代理 0 关闭, 1 开启- net.ipv4.conf.all.rp_filter (exp: 1) 逆向路径过滤 (Reverse Path Filtering) 0 关闭, 1 Strict mode, 2 Loose mode - net.ipv4.conf.all.send_redirects (exp: 0) ICMP发送重定向报文 0 关闭, 1 开启- net.ipv4.conf.default.accept_redirects (exp: 0) ICMP接收重定向报文(默认设置) 0 忽略, 1 转发- net.ipv4.conf.default.accept_source_route (exp: 0) 接受所有源地址信息包(默认设置) 0 丢弃, 1 转发- net.ipv4.conf.default.log_martians (exp: 1) 将包含非法地址信息的ip包记录到内核日志(默认设置) 0 关闭, 1 开启- net.ipv4.icmp_echo_ignore_broadcasts (exp: 1) 设置是否响应icmp echo请求广播, 0 响应, 1 忽略- net.ipv4.icmp_ignore_bogus_error_responses (exp: 1) 忽略由网络中的那些声称回应地址是广播地址的主机生成的ICMP错误 0 响应, 1 忽略- net.ipv4.tcp_syncookies (exp: 1) 表示开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击, 0 关闭, 1 启用 - net.ipv4.tcp_timestamps (exp: 0) 开启时间戳,防范那些伪造的 sequence 号码 0 关闭, 1 开启
以下是针对ipv6的,和ipv4 的同参数功能相同 - net.ipv6.conf.all.accept_redirects (exp: 0) - net.ipv6.conf.all.accept_source_route (exp: 0) - net.ipv6.conf.default.accept_redirects (exp: 0) - net.ipv6.conf.default.accept_source_route (exp: 0)
- 参考文档
- man proc
- 网络部分 https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt
Memory and processes
检查僵尸进程和输入输出等待进程,ps -aux
- /proc/memento
- dead/zombie processes
- IO waiting processes
Users, Groups and Authentication
用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码
- 检查 UID ID groupname 的唯一性
- 检查 group files 和 password file 文件的一致性 (TODO)
- 检查命名服务:
- 网络信息服务 (Network Information Service, NIS)
- 轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)
- 检查sudo配置及其权限, /etc/sudoers 默认权限 0440
- PAM认证配置文件检查,密码强度配置检查
- 检查 LDAP module in PAM 是否配置,及其 LDAP authentication Support
- 检查账户的到期日期,密码为空的配置情况
- default umask (todo) /etc/profile 755 /etc/login.defs 644 /etc/init.d/rc 644
Shells
- /etc/shells 查看当前系统存在的shell数量
- 测试是否存在 Shellshock 漏洞
File systems
挂载点、临时文件和根文件系统
- 检查 /home /tmp 挂载点
- 检查 是否存在UNIX文件系统 FFS/UFS (BSD体系)
- 检查 swap分区,测试swap分区状态
- 检查 /tmp old files 和 sticky bit,正确的权限 (1777)
- 检查 根分区是否开启 ACL 支持 已经开启 (todo)
- 检查 Locate database (todo)
- 检查是否存在加密文件系统 否
Storage
检查 USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci) [ NOT DISABLED ] (todo)
相关配置文件
- /lib/modprobe.d/aliases.conf
- /etc/modprobe.d/*
NFS
- 查询 是否存在 rpc 程序 (Remote Procedure Call,远程过程调用)
- 查询 NFS 版本,协议,服务
Software: name services
- 检查默认的 DNS search domain
- 检查 search domains
- 检查 /etc/resolv.conf 是否存在 options 配置项
- 检查 DNS domain name
- 检查 nscd,bind,PowerDNS,ypbind 运行状态
- 检查 /etc/hosts
- duplicates
- hostname
- localhost
Ports and packages
- 包管理套件: dpkg apt-get
- 检查配置文件,以及是否存在安装更新仓库: 相关配置 /etc/apt/sources.list.d/*
- 包管理套件对应的数据库完整性和一致性检查,是针对包依赖关系,而不是包的文件内容,相关命令
dpkg -C
- 检查 vulnerable packages (还没太理解含义)
Networking
名称服务器、混杂接口和连接状态
- 检查是否配置nameservers 建议至少两个可用的nameserver
- 检查是否存在默认的网关,
- 检查listening ports (TCP/UDP) 发现22个,通过下面命令可以查询
netstat -tlnp
netstat -ulnp
- 检查网卡是否支持Promiscuous工作模式(混杂工作模式)
ifconfig [interface] promisc
ifconfig [interface] -promisc
- 检查当前连接状态,可执行命令查看
netstat -nat
- 检查DHCP客户端程序运行状态
Printers and Spools
打印服务默认不安装
- cups daemon
- lp daemon
Software: e-mail and messaging
检查系统中 Exim Postfix Qmail Sendmail 的运行状态
Software: firewalls
- 检查 iptables 运行状态
- 检查 PF firewall (UNIX BSD 体系防火墙)
- 检查 host based firewall 配置是否开启
SSH Support
- 检查ssh运行状态,配置
- 检查安全配置项,
- PermitRootLogin 设置root远程登录策略,默认是 without-password
- StrictModes 设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权
- AllowUsers 用户白名单
- AllowGroups 用户组白名单
- Protocol 支持的协议版本
Logging and files
- 检查日志服务运行状态,当前系统是rsyslog,
- 其他同类软件Syslog-NG,RFC 3195,minilogd
- logrotate进程是否运行,日志文件管理工具,用于截断(或轮循)、压缩,删除旧日志文件,备份历史日志文件等
- 检查是否在使用已经删除的文件(deleted files in use)
- log directories (static list) (todo)
- open log files (todo)
Insecure services
- inetd守护进程是否开启(默认关闭)
Banners and identification
- 检查 /etc/motd /etc/issue /etc/issue.net
Scheduled tasks
- 检查 crontab atd 服务运行状态
- 检查 计划任务运行状态
Accounting
- 检查 账户信息
- sysstat accounting data 默认没有开启
- auditd 检查规则,配置文件,日志文件
Time and Synchronization
- 检查 ntp 服务或者客户端是否存在
- 检查 NTP client是否在/etc/anacrontab,/etc/crontab 或 cron.d files 中
Cryptography
- 检查SSL证书是否过期
Virtualization
Security frameworks
- 检查 AppArmor,SELinux,Grsecurity 是否开启或支持
Software: file integrity
检查以下文件完整性检查工具是否存在
AFICK,AIDE,Osiris,Samhain,Tripwire,syscheck,mtree
Software: System tooling
saltstack,puppet,cfengine,chef,func,fabric
File Permissions
- 检查 /etc/lilo.conf 和 $HOME/.ssh
Home directories
- 检查历史记录文件
Hardening
- 检查是否存在编译器
- 检查是否存在恶意软件扫描工具
检查是否存在以下软件或服务
- apache
- nginx
- PHP
- MySQL
- PostgreSQL
- Oracle
- Squid
- OpenLDAP 运行实例
- SNMP 服务
转载于:https://my.oschina.net/u/877567/blog/474206
lynis check log相关推荐
- 如何查看其他人的ABAP authorization check log
Created by Jerry Wang on Jul 29, 2014 Go to start of metadata 在做middleware相关的scenario操作时,有时候需要evalua ...
- Use tcode ST01 to log authorization check
Created by Jerry Wang, last modified on Dec 22, 2014 Tcode ST01, switch on trace: 打开要trace的transacti ...
- PS Material 漫谈 六: Material Availability Check
使用: Use this function to check whether material components in networks are available on the requirem ...
- shell小工具-检查日志目录下log文件中err信息
1.创建check.sh #!/bin/bash #use: check log err if [[ ! -d "$1" ]]; thenecho "folder is ...
- mysql主从数据库含义_(转)Mysql数据库主从心得整理
管理mysql主从有2年多了,管理过200多组mysql主从,几乎涉及到各个版本的主从,本博文属于总结性的,有一部分是摘自网络,大部分是根据自己管理的心得和经验所写,整理了一下,分享给各位同行,希望对 ...
- oracle修改c root,从新发现Oracle太美之root.sh
重新发现Oracle太美之root.sh 如果你执行下以下命令基本上会在Oracle软件目录下会发现两个root.sh的脚本 [oracle@rh64 Templates]$ find /u01/ - ...
- php安卓传输图片到mysql_php – Android应用程序将图像发送到MySQL
我有一个 Android应用程序,它将图像发送到我的数据库; public class NewProductActivity extends Activity { // Progress Dialog ...
- nginx日记分割脚本
此脚本实现把nginx日志按时期进行分割备份.可以添加到crond内定期执行. #!/bin/bash # backup log file for nginx # # author: yagas # ...
- 远程打包linux成镜像,ubuntu18.04 现有系统打包成镜像
先下载remastersys wget ftp://ftp.gwdg.de/pub/linux/easyvdr/mirror/remastersys/ubuntu/remastersys/remast ...
最新文章
- Repeater控件
- 在windows中对torch1.7.1版本环境配置
- 编程之美-构造数独方法整理
- 史上最牛空姐,从飞机上掉下愣是没摔死
- linux mysql备份大量数据库,linux备份整个mysql数据库
- .Net框架集WebClient类向WinCE平台上传文件(FTP方式)延迟15秒释疑
- 【论文研读】【医学图像分割】【FCN+RNN】Recurrent Neural Networks for Aortic Image Sequence Segmentation with ...
- Chart 控件 for vs2008的安装
- 与走在创业路上的学子交流——记网维“海大快点”创业团队
- Java SE 随机数生成器 Random
- 局域网Cesium离线影像及瓦片影像地图加载【转】
- 2018年全国高中数学联合竞赛一试和加试参考答案(B卷)
- rand和randc有什么区别
- 组装台式计算机需要哪些硬件,电脑硬件有哪些?组装一台电脑需要哪些配件详解...
- SXT分布式缓存技术公开课的观后感
- 使用树莓派搭建直播平台实现b站实时直播
- 表格的边框如何做到和EXCEL的外边框为粗线,内部为细线的效果
- 渗透测试中用到的一些基本知识
- [世界杯] 巴西 vs 克罗地亚 1:0
- java多线程 wait和notify方法
热门文章
- Java实现通过ssh远程连接主机并执行命令
- 在线等比数列项数生成器
- Spring中将BeanDefinition注册到IOC容器中
- java 获取本机mac地址并转为字符串
- [BZOJ4719][P1600][NOIP2016]天天爱跑步[LCA+dfs序+差分]
- [转]使用Git Submodule管理子模块
- Docker镜像、容器的理解和使用方法
- LINUX 游戏服务器之旅4_mongodb环境
- 测测实际带宽,预防使用“假带宽”
- 用C/C++写CGI程序