安全运维 | Linux系统基线检查
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
1
查询系统信息
1. Linux 查看内核版本(大于2.6)(I级)
uname -a
cat /proc/version
2. Linux 查看系统版本
lsb_release -a
cat /etc/issue
2
身份鉴别
1. 系统是否存在重复的 UID(II级)
UID(UserID)——用户标识号,它与用户名唯一对应,Linux 以 UID 作为用户的唯一标识,Linux中超级用户 root 的 UID 为 0,可以直接使用 id 命令查看当前用户的 UID。可以查看 passwd 文件以查看所有用户的 UID 等基本信息:
vim /etc/passwd
3
密码审查
密码的生命周期最大为 90 天(III级)
密码可以被立即修改(III级)
密码的最小长度为 8 位(III级)
密码到期的提醒,一般建议 7 天(III级)
查看并修改 login.defs 文件:
vim /etc/login.defs
检查并修改如下内容:
PASS_MAX_DAYS 90 #一个密码可使用的最大天数
PASS_MIN_DAYS 0 #两次密码修改之间最小的间隔天数
PASS_MIN_LEN 8 #密码最小长度
PASS_WARN_AGE 7 #密码过期前给出警告的天数
4
访问控制
1. 系统已设定了正确的 umask 值 022 (III级)
umask 用于指定目前用户在建立文件或目录时的权限默认值,umask 设置的是权限值的“补码”,而我们常用的chmod
设置的是文件权限码,默认情况下的 umask 值是022(可以用umask命令查看),此时你建立的文件默认权限是644(6-0,6-2,6-2),建立的目录的默认权限是755(7-0,7-2,7-2)。
2. 锁定系统中不必要的用户(IV级)
使用 passwd 命令锁定、解锁和检查 Linux 中用户账户的状
passwd -l username #锁定用户账户
passwd -u username #解锁用户账户
passwd -S username #检查用户账户锁定状态
使用 usermod 命令锁定、解锁和检查 Linux 中用户账户的状态:
usermod --lock username #锁定用户账户
usermod -L username #锁定用户账户
usermod -unlock username #解锁用户账户
usermod -U username #解锁用户账户
可以通过查看 /etc/shadow 文件来检查用户锁定状态,如果用户账户被锁定,密码前面将添加感叹号。
3. 删除不必要的系统用户组(IV级)
groupdel groupname
这个命令将会从 /etc/group 和 /etc/gshadow 文件中移除用户组条目,且成功时不会打印任何输出。可以通过使用下面的命令来验证用户组是否被移除:
getent group
4. 禁止 root 用户远程登录(II级)
通过修改 /etc/ssh/sshd_congig 文件,将其中的 PermitRootLogin 改成 no,然后重新启动 ssh 服务就可以了:
systemctl restart sshd.service
5. 系统重要文件访问权限是否为 644 或 600(II级)
5
安全审计
1. 系统是否启用安全审计(III级)
Linux audit 子系统是一个用于收集记录系统、内核、用户进程发生的行为事件的一种安全审计系统,该系统可以可靠的收集有关的任何与安全相关(或与安全无关)事件的信息,它可以帮助跟踪系统上执行过的一些操作。
auditctl -s #查看系统是否启用 audit,enabled 值为 1 表示开启
systemctl start auditd #启动 auditd 服务
开启了 auditd 服务后,所有的审计日志会被记录在 /var/log/audit/audit.log 文件中,该文件记录格式是每行以 type 开头。
2. 是否启用审计策略(III级)
一般针对系统的目录、退出、创建/删除目录、修改密码、添加组、计划任务等。audit 可以自定义对指定的文件或命令进行审计(如监视 rm
命令被执行、/etc/passwd 文件内容被改变),只要配置号对应规则即可,配置规则可以通过命令行(临时生效)或编辑配置文件(永久生效)两种方式实现。auditd 的配置文件为 /etc/audit/audit 下的 auditd.conf 和 audit.rules, auditd.conf 主要定义了 auditd 服务日志的性能等相关配置,audit.rules 才是定义规则的文件。
6
剩余价值保护
1. 系统的命令行数是否保存为 30 条(IV级)
echo $HISTSIZE #查看历史命令保存条数
修改历史命令保存条数,修改 /etc/profile 中的 HISTSIZE 变量即可。
7
不必要服务启动项
1. chargen/chargen-udp、daytime/daytime-udp、echo/echo-udp、time/time-udp 等服务已被禁用(III级)
chargen 服务:最初设计用于测试网络状态,监听19端口(包括TCP和UDP),其中UDP协议存在“Chargen UDP服务远程拒绝服务攻击漏洞”。chargen一般不会使用,所以直接将该服务关闭即可。
daytime 服务:使用TCP 协议的 Daytime 守护进程,该协议为客户机实现从远程服务器获取日期和时间的功能。
daytime-udp 服务:使用 UDP 协议的 Daytime 守护进程。
echo 服务:使用 TCP 协议的服务器回显客户数据服务守护进程;
echo-udp 服务:使用 UDP 协议的服务器回显客户数据服务守护进程。
time 服务:采用 TCP 协议的从远程主机获取时间和日期的守护进程;
time-udp 服务:采用 UDP 协议的从远程主机火气时间和日期的守护进程。
2. cpus-lpd 服务已被禁用(III级)
cups 服务:通用 UNIX 打印守护进程,为Linux提供第三代打印功能;
cups-lpd 服务:cups 行打印守护进程。
3. finger 服务已被禁用(III级)
finger 服务:finger 服务器提供一项查询本地或远程主机用户公开信息的服务。
4. rexec 服务已被禁用(III级)
rexec 服务:允许网络用户远程执行命令。由于rexecd并没有提供好的认证方式,认证体系相当简单而易受攻击,因此它可能被攻击者用来扫描第三方的主机,攻击者可以通过该服务远程暴力穷举猜测用户名、口令,也可以监听其它授权用户的通信过程以获取口令明文,可以使用nmap 等工具进行扫描检测。
5. rlogin 服务已被禁用(III级)
rlogin 服务:远程登陆服务,通过 rlogin 命令,可以登录到远程系统。rlogin服务的认证体系相当简单而易受攻击,攻击者可以通过该服务远程暴力穷举猜测用户名、口令,也可以监听其它授权用户的通信过程以获取口令明文。
6. rsh 服务已被禁用(III级)
rsh 服务:远程 shell 服务,通过 rsh 命令,可以在指定的远程主机上启动一个 shell 并执行用户在 rsh 命令行中指定的命令,如果用户没有给出要执行的命令,rsh就用 rlogin 命令使用户登录到远程机上。
7. rsync 服务已被禁用(II级)
rsync 服务:远程数据同步服务,通过 rsync 命令,可以通过LAN/WAN快速同步多台主机间的文件。rsync使用所谓的“rsync算法”来使本地和远程两个主机之间的文件达到同步,这个算法只传送两个文件的不同部分,而不是每次都整份传送,因此速度相当快。
8. ntalk 服务已被禁用(III级)
ntalk 服务:网络交谈(ntalk),远程对话服务和客户。
9. talk 服务已被禁用(III级)
talk 服务:远程对话服务和客户。
10. wu-ftpd 服务已被禁用(II级)
Wu-ftpd 服务:Internet上最流行的FTP守护程序。Wu-ftpd功能十分强大,可以构建多种类型FTP服务器。Wu-ftpd菜单可以帮助用户轻松地实现对FTP服务器的配置:支持构造安全方式的匿名FTP的访问,可以控制同时访问的用户的数量,限制可以允许访问的IP网段,并可以在一台主机上设置多个虚拟目录。
11. tftp 服务已被禁用(III级)
tftp 服务:TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。基于 UDP 协议实现,端口号为69。
12. ipop2 服务已被禁用(III级)
ipop2 服务:POP2 邮件服务器。
13. ipop3 服务已被禁用(III级)
ipop3 服务:POP3 邮件服务器。
14. telnet 服务已被禁用(III级)
telnet 服务:Internet 远程登录服务。
15. xinetd 服务已被禁用(IV级)
xinted 服务:新一代的网络守护进程服务程序,又叫超级Internet服务器,常用来管理多种轻量级Internet服务。
8
其它配置检查
1. 系统已经加固了 TCP/IP 协议栈(IV级)
检查/etc/sysctl.conf是否存在以下内容:
net.ipv4.tcp_max_syn_backlog=4096
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.accept_source_route=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.secure_redirects=0
net.ipv4.conf.default.accept_source_route=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.default.secure_redirects=0
2. 系统禁用 X-Windows 系统(III级)
3. 移动介质使用 nosuid 挂载(IV级)
检查与 /etc/fstab 文件夹、/dev/floppy 和 /dev/cdrom 相关的条目
4. /tmp 和 /var/tmp 目录具有粘滞位(II级)
ls -al/ | grep tmp
5. root PATH 环境变量,不包含当前目录(II级)
echo $PATH
-END-
▎经典文章精选
靶场攻略 | BountyHunter靶场实战
靶场攻略 | 记一次实验靶场练习笔记
常见反病毒进程/服务/识别总结
安全攻防 | PowerShell 配合 Metersploit 艰难提权
神兵利器 | Kunyu信息收集工具
扫描下方 二维码 加入我们吧!
安全运维 | Linux系统基线检查相关推荐
- linux下进程监控6,系统运维|Linux系统监控神器-Collectl
系统资源监控 为使系统良好运转,Linux系统管理员经常需要监测cpu,内存,磁盘,网络等系统信息.Linux上已有iotop,top,free,htop,sar等丰富的常规工具来实现监测功能.今天让 ...
- 运维Linux系统中的用户管理
一.用户及用组存在的意义 1)用户存在的意义 系统资源是有限的,如何合理的分配系统资源? 在这个问题解决时必须要有连个资源配合 1.身份 account 2.授权 auth ...
- 云计算Linux运维——Linux系统——软件管理
点关注不迷路 目录 点关注不迷路 1RPM软件管理 1.软件安装包类型 2.RPM软件安装包的组成 二.RPM软件管理操作 rpm命令 1.安装软件 2.查看软件 3.卸载软件 2yum工具介绍 一. ...
- 基于Linux+Nagios+Centreon+Nagvis等构建海量运维监控系统
参考书目:<海量运维监控系统规划与部署 基于Linux+Nagios+Centreon+Nagvis等> 付哲著 系统环境规划: 基于阿里云centos6.8镜像升级到centos6.9, ...
- Linux运维-服务器系统篇
Linux运维-服务器系统篇 开篇导读: 本篇博文是此系列教程的第二课,在这一课中将大概的介绍一下服务器上的操作系统,了解一下它的基本概念和发展历程. 服务器系统的概念和作用 如何理解服务器操作系统? ...
- 江南科友 hac linux shell,运维安全审计系统(HAC 1000E、HAC 1000P)
"运维安全审计系统(HAC 1000E.HAC 1000P)"详细介绍 堡垒机.HAC.运维安全审计系统.江南科友堡垒机.内控堡垒机.运维堡垒机.HAC 1000-E.HAC 10 ...
- 常用的17个运维监控系统
1. Zabbix Zabbix 作为企业级的网络监控工具,通过从服务器,虚拟机和网络设备收集的数据提供实时监控,自动发现,映射和可扩展等功能. Zabbix的企业级监控软件为用户提供内置的Java应 ...
- 2020-06-19 云运维linux centos7.2 文件管理基础知识总结
2020-06-19 云运维linux文件管理基础知识总结 linux=Linux: 命令(基础使用)+文件系统(目录)+服务(配置) 1.路径的分类 绝对路径:由根目录(/)开始写起的文件名或目录名 ...
- linux环境变量管理器,运维 - linux(ubuntu) 环境变量管理 (持续更新)
运维 - linux(ubuntu) 环境变量管理 (持续更新) 注: 本教程以 Ubuntu16.04 操作, 请细看. 如果看完还不明白, 联系我, 我给你发红包. 一, 查看环境变量: 方法 1 ...
最新文章
- Java的从业方向是什么?好找工作吗?
- bigquery_如何在BigQuery中进行文本相似性搜索和文档聚类
- php pjax数据返回,如何将Pjax整合进网站,实现全站无刷新加载?
- 提出智能扰动方法!字节跳动隐私保护论文入选 NeurIPS 2020 联邦学习Workshop
- 典型重构3 (Try/Catch)
- 分治,递归,贪心算法,动态规划的关系
- 数学常用公式及规律、结论(一)
- 2019年支付宝集五福秘笈!内含攻略及互助群
- 国产ADAS“再”突围
- 24个非洲青年,为啥跑来阿里“上学”?
- 人力资源外包是什么?转型灵活用工系统,解决服务痛点
- arch使用create_ap创建wifi热点
- 蓝桥杯:纸张尺寸(C++)
- web前端开发面试题(一)
- 图片文字翻译的软件有哪些?文字翻译软件推荐。
- 实验三 软件工程结对项目
- 大数据时代如何保障数据安全
- win10 Snipaste 截图软件
- Mac上IDEA无法下载plugins插件
- AI一分钟 | 传美团37亿美元收购摩拜;苹果在给Mac设计处理器,2020年替代英特尔
热门文章
- LuaJIT分支和标准Lua有什么不同?
- 面试被问到期望工资,怎样机智地表露自己想要的薪酬待遇?
- Angular5文件上传及进度报告、文件下载
- 基于SSH开发物流仓储调度系统 课程设计 大作业 毕业设计
- 软件工程导论复习总结
- 在gitlab上 与fork的源代码保持同步
- 机房计算机课提交作业,学生提交电子作业的实现方案一例 面试后要求提交方案...
- 笔记(米斯特白帽子WEB安全攻防培训第二期)(基础01)
- Towards Generative Aspect-Based Sentiment Analysis 论文阅读ACL2021
- 瑞芯微RK3399主板开发,RK3399芯片设计参数分析