适用于系统版本:CentOS 6/7/8的基线安全检测脚本

news2024/12/29 1:52:22
#!/bin/bash
#适用于系统版本:CentOS 6/7/8
echo "----------------检测是否符合密码复杂度要求----------------"
#把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4;
st1=`cat /etc/security/pwquality.conf | grep minlen| grep -v '#'`
st2=`cat /etc/security/pwquality.conf | grep minclass| grep -v '#'`
if [ -z "$st1" ] && [ -z "$st2" ]; then
echo "检测结果为:未设置密码复杂度"
elif [ `cat /etc/security/pwquality.conf | grep minlen| grep -v '#' |awk -F ' ' '{print $3}'` -gt 8 ] && [ `cat /etc/security/pwquality.conf | grep minclass| grep -v '#' |awk -F ' ' '{print $3}'` -gt 2 ]; then
echo "检测结果为:密码复杂度符合要求"
else
echo "检测结果为:密码复杂度不符合要求"
fi

echo "----------------检测rsyslog服务是否启用----------------"
#确保rsyslog服务已启用,记录日志用于审计
rsyslog="active(running)"
rsyslogstatus=`systemctl status rsyslog| grep Active | awk  '{print$2$3}' `
if [ "$rsyslogstatus" == "$rsyslog" ]; then
echo "检测结果为:rsyslog服务已启用"
else
echo "检测结果为:rsyslog服务未启用"
fi


echo "----------------检测是否禁止ROOT远程登录----------------"
#/etc/ssh/sshd_config文件中PermitRootLogin应设置为:no
set -e
cfgfile='/etc/ssh/sshd_config'
if [ "`cat ${cfgfile} | grep -E '^PermitRootLogin' | awk '{print $1}'`" == "#PermitRootLogin" -o "`cat ${cfgfile} | grep '^PermitRootLogin'`" == "" -o "`cat ${cfgfile} | grep '^PermitRootLogin' | awk '{print $2}'`" == "yes" ]
then
echo "检测结果为:未禁止root远程登录"

else
echo "检测结果为:已禁止root远程登录"

fi

echo "----------------检测是否禁止空密码登录----------------"
#/etc/ssh/sshd_config文件中PermitEmptyPasswords应设置为:no
set -e
cfgfile='/etc/ssh/sshd_config'
if [ "`cat ${cfgfile} | grep 'PermitEmptyPasswords' | awk '{print $1}'`" == "#PermitEmptyPasswords" -o "`cat ${cfgfile} | grep 'PermitEmptyPasswords'`" == "" -o "`cat ${cfgfile} | grep 'PermitEmptyPasswords' | awk '{print $2}'`" == "yes" ]
then
echo "检测结果为:未禁止空密码登录"

else
echo "检测结果为:已禁止空密码登录"

fi

echo "----------------检测密码重用是否限制为5次----------------"
#password sufficient pam_unix.so: 这部分指定了当用户尝试更改密码时,应使用pam_unix.so模块来验证新密码。sufficient意味着如果这个模块成功验证了密码,那么密码更改操作就成功,不需要继续检查其他PAM模块。
#remember=5: 这个参数指定了密码策略应检查新密码与过去5次使用的密码是否重复。如果新密码与这5次中的任何一次重复,该策略将拒绝更改密码。
set -e
Authcfg='/etc/pam.d/password-auth /etc/pam.d/system-auth'
for filename in ${Authcfg}
do
if [ -z "`grep -E 'password' ${filename} | grep 'sufficient' | grep remember=5 | grep pam_unix.so`" ]
then
echo "检测结果为:检测密码重用未限制为5次"
else
echo "检测结果为:检测密码重用已限制为5次"

fi
done

echo "----------------检测是否设置密码失效时间----------------"
#/etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间;
pass_max_days=`cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'`
if [ -z "$pass_max_days" ]; then
echo "检测结果为:未设置密码失效时间"
elif [ `cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'| awk '{print $2}'` -gt 180 ] || [ `cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'| awk '{print $2}'` -lt 60 ]; then
echo "检测结果为:设置密码失效时间不在60-180天范围内"
else
echo "检测结果为:设置密码失效时间在60-180天范围内"
fi

echo "----------------检测是否设置修改密码最小间隔时间----------------"
#在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
pass_min_days=`cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v '#'`
if [ -z "$pass_min_days" ]; then
echo "检测结果为:未设置修改密码最小间隔时间"
elif [ `cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v '#'| awk '{print $2}'` -gt 14 ] || [ `cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'| awk '{print $2}'` -lt 7 ]; then
echo "检测结果为:设置修改密码最小间隔时间不在7-14天范围内"
else
echo "检测结果为:设置修改密码最小间隔时间在7-14天范围内"
fi

echo "----------------检测密码过期告警时间是否大于等于7天----------------"
#密码过期警告时间应:大于等于7天;
set -e
cfgfile='/etc/login.defs'

if [ `grep -E '^PASS_WARN_AGE' ${cfgfile} | awk '{print $2}'` -ge 7 ]
then
echo "检测结果为:密码过期告警时间已设置大于等于7天"

else
echo "检测结果为:密码过期告警时间未设置大于等于7天"

fi

echo "----------------检测SSH访问是否受限制----------------"
#/etc/ssh/sshd_config文件中应存以下其中之一:
#AllowUsers <userlist>
#AllowGroups <grouplist>
#DenyUsers <userlist>
#DenyGroups <grouplist>
set -e  ##返回任何非0状态即退出脚本执行
sshd_config='/etc/ssh/sshd_config'
sshstatus=`ps -ef | grep sshd | grep -v grep | awk -F ' ' '{print $8$9}'`
if [ -z "$sshstatus" ]
then
echo "检测结果为:未开启ssh服务"
exit 2
fi
if [ -z "`grep -E '^AllowUsers|^AllowGroups|^DenyUsers|^DenyGroups' ${sshd_config}`" ]
then
echo "检测结果为:SSH访问未受限制"
else
echo "检测结果为:SSH访问已受限制"
fi

echo "----------------检测SSH LogLevel设置是否为INFO----------------"
#开启日志info日志格式可以记录很多的日志信息以便回溯,比如登录操作告警失败等信息
sshd_confi='/etc/ssh/sshd_config'
log_level=`cat $sshd_confi | grep "LogLevel"| grep -v '^#'| awk -F ' ' '{print$1}'`
if [ -z "$log_level" ]; then
echo "检测结果为:SSH LogLevel设置为INFO"
elif [ "`cat $sshd_confi | grep "LogLevel"| grep -v '^#LogLevel' | awk '{print $2}'`" == "INFO" ]; then
echo "检测结果为:SSH LogLevel设置为INFO"
else
echo "检测结果为:SSH LogLevel设置为$log_level"
fi

echo "----------------检测SSH的MaxAuthTries是否设置为小于等于4----------------"
#用于指定SSH服务器允许客户端进行身份验证尝试的最大次数
set -e
cfg='/etc/ssh/sshd_config'
cfgstatus1=`cat $cfg | grep MaxAuthTries | grep -v '#'| awk -F ' ' '{print$1}'`
if [ -z "$cfgstatus1" ]
then
echo "检测结果为:未设置此参数"
elif [ `cat $cfg | grep MaxAuthTries | grep -v '#'| awk -F ' ' '{print$2}'` -le 6 ]
then
echo "检测结果为:已设置为小于等于6"
else
echo "检测结果为:未设置为小于等于6"
fi

echo "----------------检测是否禁用ssh端口转发功能----------------"
#GatewayPorts 设置no或者注释掉
result=`cat /etc/ssh/sshd_config | grep GatewayPorts | grep -v '#' | awk -F ' ' '{print$NF}'`

if [ "$result" == "no" ] | [ -z  "$result" ];then
   echo "检测结果为:已禁用ssh端口转发"
else
   echo "检测结果为:已启用ssh端口转发"
fi

echo "----------------检测ROOT是否UID为0的唯一用户----------------"
#root应为唯一的UID为0用户
set -e
cfgfile='/etc/passwd'
if [ `cat passwd | awk -F ':' '$3 == 0{print $1}'|wc -l` -eq 1 -a "`cat passwd | awk -F ':' '$3 == 0{print $1}'`" == "root" ]
then
echo "检测结果为:root是uid为0的唯一用户"

else
echo "检测结果为:root不是uid为0的唯一用户"

fi

echo "----------------检测ROOT是否GID为0的唯一用户----------------"
#root应为唯一的GID为0用户
set -e
cfgfile='/etc/passwd'
root_gid=`cat ${cfgfile}|grep -E ^root | awk -F ':' '{print $4}'`
if [ ${root_gid} -eq 0 ]
then
echo "检测结果为:root是gid为0的唯一用户"

else
echo "检测结果为:root不是gid为0的唯一用户"

fi

echo "----------------SSH空闲超时间隔是否设置----------------"
#/etc/ssh/sshd_config文件中 ClientAliveInterval应设置为:等于18000 ClientAliveCountMax应设置为:等于2
set -e
cfgfile='/etc/ssh/sshd_config'
ClientAliveInterval_key=`cat ${cfgfile} | grep ClientAliveInterval | awk '{print $1}'`
ClientAliveInterval_value=`cat ${cfgfile} | grep ClientAliveInterval | awk '{print $2}'`
ClientAliveCountMax_key=`cat ${cfgfile} | grep ClientAliveCountMax | awk '{print $1}'`
ClientAliveCountMax_value=`cat ${cfgfile} | grep ClientAliveCountMax | awk '{print $2}'`
if [ "${ClientAliveInterval_key}" == "" -o "${ClientAliveInterval_key}" == "#ClientAliveInterval" -o "${ClientAliveCountMax_key}" == "" -o "${ClientAliveCountMax_key}" == "#ClientAliveCountMax" ]
then
echo "检测结果为:未设置最大空闲时间"

else
if [ ${ClientAliveInterval_value} -eq 18000 -a ${ClientAliveCountMax_value} -eq 2 ]
then
echo "检测结果为:最大空闲时间已设置为18000秒(5小时)X2=36000秒(10小时)"

else
echo "检测结果为:最大空闲时间未设置为18000秒(5小时)X2=36000秒(10小时)"

fi
fi

echo "----------------检测是否禁止普通用户执行高危命令----------------"  
#/usr/bin/yum 权限为700 /usr/bin/rpm权限为700 /usr/bin/rz权限为700 /usr/bin/sz权限为700 /usr/bin/scp权限为700
#file1="/usr/bin/rz" 禁止普通用户上传
file2="/usr/bin/sz"  ##禁止普通用户下载(办公网与运维网场景不一样可能需要开放)
file4="/usr/bin/yum" ##禁止普通用户执行
file5="/usr/bin/rpm" ##禁止普通用户执行
permission="700"  # 替换为你期望的权限值,此值为仅支持root用户执行  
if [[ -f "$file1" && "$(stat -c '%a' "$file1")" == "$permission" ]]; then  
    echo "检测结果为:已禁止普通用户执行rz命令"
else
    echo "检测结果为:未禁止普通用户执行rz命令"    
fi  
  
if [[ -f "$file2" && "$(stat -c '%a' "$file2")" == "$permission" ]]; then  
    echo "检测结果为:已禁止普通用户执行sz命令"
else
    echo "检测结果为:未禁止普通用户执行sz命令"    
 
fi  
  
if [[ -f "$file3" && "$(stat -c '%a' "$file3")" == "$permission" ]]; then  
    echo "检测结果为:已禁止普通用户执行scp命令"
else
    echo "检测结果为:未禁止普通用户执行scp命令"     
fi  
  
if [[ -f "$file4" && "$(stat -c '%a' "$file4")" == "$permission" ]]; then  
    echo "检测结果为:已禁止普通用户执行yum命令"
else
    echo "检测结果为:未禁止普通用户执行yum命令"    
fi

if [[ -f "$file5" && "$(stat -c '%a' "$file5")" == "$permission" ]]; then  
    echo "检测结果为:已禁止普通用户执行rpm命令"
else
    echo "检测结果为:未禁止普通用户执行rpm命令"      
 
fi

echo "----------------检测是否禁用普通用户修改高危文件----------------"
#/etc/passwd权限为644/etc/group权限为644/etc/shadow权限为400/etc/gshadow权限为400/etc/hosts.deny权限为644/etc/hosts.allow权限为644
file1="/etc/passwd" ##禁止普通用户更改
file2="/etc/shadow" ##禁止普通用户查看
file3="/etc/group" ##禁止普通用户更改
file4="/etc/gshadow" ##禁止普通用户查看
file5="/etc/hosts.deny" ##禁止普通用户更改
file6="/etc/hosts.allow" ##禁止普通用户更改
permission1="644"  # 替换为你期望的权限值,此值为仅支持root用户更改  
permission2="400"  # 替换为你期望的权限值,即只有root用户可查看
if [[ -f "$file1" && "$(stat -c '%a' "$file1")" == "$permission1" ]]; then  
    echo "检测结果为:已禁止普通用户更改passwd文件"
else
    echo "检测结果为:未禁止普通用户更改passwd文件"    
fi  
if [[ -f "$file3" && "$(stat -c '%a' "$file3")" == "$permission1" ]]; then  
    echo "检测结果为:已禁止普通用户更改group文件"
else
    echo "检测结果为:未禁止普通用户更改group文件"    
fi  

if [[ -f "$file2" && "$(stat -c '%a' "$file2")" == "$permission2" ]]; then  
    echo "检测结果为:已禁止普通用户读取shadow文件"
else
    echo "检测结果为:未禁止普通用户读取shadow文件"    
 fi
if [[ -f "$file4" && "$(stat -c '%a' "$file4")" == "$permission2" ]]; then  
    echo "检测结果为:已禁止普通用户读取gshadow文件"
else
    echo "检测结果为:未禁止普通用户读取gshadow文件"    
fi  
if [[ -f "$file5" && "$(stat -c '%a' "$file5")" == "$permission2" ]]; then  
    echo "检测结果为:已禁止普通用户更改hosts.deny文件"
else
    echo "检测结果为:未禁止普通用户更改hosts.deny文件"    
fi  
if [[ -f "$file6" && "$(stat -c '%a' "$file6")" == "$permission2" ]]; then  
    echo "检测结果为:已禁止普通用户更改hosts.allow文件"
else
    echo "检测结果为:未禁止普通用户更改hosts.allow文件"    
fi  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1517275.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Tensorflow2.笔记 - 单层感知机(单输出,多输出)Single Layer Perceptron

本笔记主要记录单层感知机的相关内容,包括单层单输出,和单层多输出。 import tensorflow as tf import numpy as nptf.__version__#单层单输出感知机,逻辑回归很类似,主要区别就是激活函数和损失函数不同 #单层感知机的激活函数通…

一键切割,激发无限创意:体验全新图片批量编辑器

在数字创意的时代,图片编辑成为了表达个性和创造力的关键。然而,传统的图片编辑工具常常让人望而生畏,复杂的操作和高门槛的技术要求使得许多人望而却步。现在,我们为您带来一款全新的图片批量编辑器,只需一键切割&…

【Algorithm】动态规划和递归问题:动态规划和递归有什么区别?如何比较递归解决方案和它的迭代版本?

【Algorithm】动态规划和递归问题:动态规划和递归有什么区别?如何比较递归解决方案和它的迭代版本? 1. 动态规划(Dynamic Programming,DP)和递归定义及优缺点1.1 递归 (Recursion)定义及优缺点1.2 动态规划 (Dynamic Programming)定义及优缺点2. 动态规划(DP)和递归的特…

界面控件DevExpress ASP.NET Scheduler - 助力快速交付个人信息管理系统(下)

DevExpress ASP. NET Scheduler组件能完全复制Microsoft Outlook Scheduler的样式和功能,具有日、周、月和时间轴视图,并包括内置的打印支持,因此用户可以在尽可能短的时间内交付全功能的个人信息管理系统。在上文中(点击这里回顾…

蓝牙耳机链接电脑莫名奇妙关机问题(QQ浏览器)

蓝牙耳机连接电脑听歌的时候,如果听歌软件是暴风影音,或者其它播放器,蓝牙不会自动关机,但如果是QQ浏览器,蓝牙耳机经常莫名其妙的关机,时间间隔忽长忽短,没有规律,解决办法就是重启…

uniapp移动端 IOS系统下无法与webview通信

不知道有没有人遇到过这个问题 我的页面嵌套了一个webview(文件位于项目的hybrif/html)目录下 使用evalJS与webview进行通信 代码如下 在安卓里运行是没问题的,但在苹果手机上一直无法通信 连接真机,打印evalJS是个方法&#xf…

Spring boot创建第一个项目

作者简介: zoro-1,目前大二,正在学习Java,数据结构,spring等 作者主页: zoro-1的主页 欢迎大家点赞 👍 收藏 ⭐ 加关注哦!💖💖 Spring boot创建第一个项目 sp…

idea Springboot 数码商城系统LayUI框架开发mysql数据库web结构java编程计算机网页

一、源码特点 springboot 数码商城系统是一套完善的完整信息系统,结合mvc框架和LayUI框架完成本系统springboot spring mybatis ,对理解JSP java编程开发语言有帮助系统采用springboot框架(MVC模式开发),系统具有完整…

CVE-2024-27199 JetBrains TeamCity 身份验证绕过漏洞2

漏洞简介 TeamCity Web 服务器中发现了第二个身份验证绕过漏洞。这种身份验证旁路允许在没有身份验证的情况下访问有限数量的经过身份验证的端点。未经身份验证的攻击者可以利用此漏洞修改服务器上有限数量的系统设置,并泄露服务器上有限数量的敏感信息。 项目官网…

KubeSphere 社区双周报|2024.02.29-03.14

KubeSphere 社区双周报主要整理展示新增的贡献者名单和证书、新增的讲师证书以及两周内提交过 commit 的贡献者,并对近期重要的 PR 进行解析,同时还包含了线上/线下活动和布道推广等一系列社区动态。 本次双周报涵盖时间为:2024.02.29-03.14…

uniapp微信小程序_自定义交费逻辑编写

一、首先看最终效果 先说下整体逻辑,选中状态为淡紫色,点击哪个金额,充值页面上就显示多少金额 二、代码 <view class"addMoney"><view class"addMoneyTittle">充值金额</view><view class"selfaddmoney" :class"{…

uniapp微信小程序_拍照从相册选择

userImg() {let that thisuni.chooseMedia({count: 1,mediaType: [image, video],sourceType: [album, camera],maxDuration: 30,camera: back,success(res) {console.log(res.tempFiles[0].tempFilePath)that.imagUrl res.tempFiles[0].tempFilePath}})}, 直接调用api即可,注…

Apache Paimon 的 CDC Ingestion 概述

CDC Ingestion 1&#xff09;概述 Paimon支持schema evolution将数据插入到Paimon表中&#xff0c;添加的列将实时同步到Paimon表&#xff0c;并且无需重启同步作业。 目前支持的同步方式如下&#xff1a; MySQL Synchronizing Table: 将MySQL中的一个或多个表同步到一个Pa…

【Jenkins】data stream error|Error cloning remote repo ‘origin‘ 错误解决【亲测有效】

错误构建日志 17:39:09 ERROR: Error cloning remote repo origin 17:39:09 hudson.plugins.git.GitException: Command "git fetch --tags --progress http://domain/xxx.git refs/heads/*:refs/remotes/origin/*" returned status code 128: 17:39:09 stdout: 17…

Spring揭秘:ClassPathScanningProvider接口应用场景及实现原理!

技术应用场景 ClassPathScanningCandidateComponentProvider是Spring框架中一个非常核心的类&#xff0c;它主要用于在类路径下扫描并发现带有特定注解的组件&#xff0c;支持诸如ComponentScan、Component、Service、Repository和Controller等注解的自动扫描和注册。 ClassP…

关于MySQL数据库2

目录 前言: 1.mysql中常用的数据类型: 1.1数值类型: 1.1.1INT: 1.1.2FLOAT 和 DOUBLE: 1.1.3DECIMAL (或 NUMERIC): 1.2日期和时间类型: 1.2.1DATE: 1.2.2TIME: 1.2.3DATETIME: 1.2.4TIMESTAMP: 1.2.5YEAR: 1.3字符串类型: 1.3.1CHAR: 1.3.1VARCHAR: 1.3.1TEXT:…

java kafka客户端何时设置的kafka消费者默认值

kafka为什么有些属性没有配置却能正常工作&#xff0c;那是因为kafka-clients对有些消费者设置了默认值&#xff0c;具体看下ConsumerConfig类的静态模块&#xff0c;具体如下所示&#xff1a; kafka为什么有些属性没有配置却能正常工作&#xff0c;那是因为kafka-clients对有…

【软考】UML中的图之对象图

目录 1. 说明2. 图示3. 特性 1. 说明 1.对象图即object diagram2.展现了某一时刻一组对象以及它们之间的关系3.描述了在类图中所建立的事物的实例的静态快照4.对象图一般包括对象和链5.对象图展示的是对象之间关系&#xff0c;不存在交互&#xff0c;所以不是交互图 2. 图示 …

给电脑加硬件的办法 先找电脑支持的接口,再买相同接口的

需求&#xff1a;我硬盘太小&#xff0c;换或加一个大硬盘 结论&#xff1a;接口是NVMe PCIe 3.0 x4 1.找到硬盘型号 主硬盘 三星 MZALQ512HALU-000L2 (512 GB / 固态硬盘) 2.上官网查 或用bing查 非官方渠道信息&#xff0c;不确定。

智能物流新纪元:分布式I/O模块重塑仓储自动化

随着工业4.0概念的深入人心&#xff0c;物流行业正在经历前所未有的变革。在这个过程中&#xff0c;物流企业必须积极走向工业自动化、智能化&#xff0c;进而提高物流效率&#xff0c;降低物流成本&#xff0c;以便更好地满足客户和市场的需求。智能物流、仓库自动化已然是趋势…