当前位置: 首页 > news >正文

适用于系统版本:CentOS 6/7/8的基线安全检测脚本

news 2025/9/16 8:57:46 
#!/bin/bash
#适用于系统版本:CentOS 6/7/8
echo "----------------检测是否符合密码复杂度要求----------------"
#把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4;
st1=`cat /etc/security/pwquality.conf | grep minlen| grep -v '#'`
st2=`cat /etc/security/pwquality.conf | grep minclass| grep -v '#'`
if [ -z "$st1" ] && [ -z "$st2" ]; then
echo "检测结果为:未设置密码复杂度"
elif [ `cat /etc/security/pwquality.conf | grep minlen| grep -v '#' |awk -F ' ' '{print $3}'` -gt 8 ] && [ `cat /etc/security/pwquality.conf | grep minclass| grep -v '#' |awk -F ' ' '{print $3}'` -gt 2 ]; then
echo "检测结果为:密码复杂度符合要求"
else
echo "检测结果为:密码复杂度不符合要求"
fiecho "----------------检测rsyslog服务是否启用----------------"
#确保rsyslog服务已启用,记录日志用于审计
rsyslog="active(running)"
rsyslogstatus=`systemctl status rsyslog| grep Active | awk  '{print$2$3}' `
if [ "$rsyslogstatus" == "$rsyslog" ]; then
echo "检测结果为:rsyslog服务已启用"
else
echo "检测结果为:rsyslog服务未启用"
fiecho "----------------检测是否禁止ROOT远程登录----------------"
#/etc/ssh/sshd_config文件中PermitRootLogin应设置为:no
set -e
cfgfile='/etc/ssh/sshd_config'
if [ "`cat ${cfgfile} | grep -E '^PermitRootLogin' | awk '{print $1}'`" == "#PermitRootLogin" -o "`cat ${cfgfile} | grep '^PermitRootLogin'`" == "" -o "`cat ${cfgfile} | grep '^PermitRootLogin' | awk '{print $2}'`" == "yes" ]
then
echo "检测结果为:未禁止root远程登录"else
echo "检测结果为:已禁止root远程登录"fiecho "----------------检测是否禁止空密码登录----------------"
#/etc/ssh/sshd_config文件中PermitEmptyPasswords应设置为:no
set -e
cfgfile='/etc/ssh/sshd_config'
if [ "`cat ${cfgfile} | grep 'PermitEmptyPasswords' | awk '{print $1}'`" == "#PermitEmptyPasswords" -o "`cat ${cfgfile} | grep 'PermitEmptyPasswords'`" == "" -o "`cat ${cfgfile} | grep 'PermitEmptyPasswords' | awk '{print $2}'`" == "yes" ]
then
echo "检测结果为:未禁止空密码登录"else
echo "检测结果为:已禁止空密码登录"fiecho "----------------检测密码重用是否限制为5次----------------"
#password sufficient pam_unix.so: 这部分指定了当用户尝试更改密码时,应使用pam_unix.so模块来验证新密码。sufficient意味着如果这个模块成功验证了密码,那么密码更改操作就成功,不需要继续检查其他PAM模块。
#remember=5: 这个参数指定了密码策略应检查新密码与过去5次使用的密码是否重复。如果新密码与这5次中的任何一次重复,该策略将拒绝更改密码。
set -e
Authcfg='/etc/pam.d/password-auth /etc/pam.d/system-auth'
for filename in ${Authcfg}
do
if [ -z "`grep -E 'password' ${filename} | grep 'sufficient' | grep remember=5 | grep pam_unix.so`" ]
then
echo "检测结果为:检测密码重用未限制为5次"
else
echo "检测结果为:检测密码重用已限制为5次"fi
doneecho "----------------检测是否设置密码失效时间----------------"
#/etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间;
pass_max_days=`cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'`
if [ -z "$pass_max_days" ]; then
echo "检测结果为:未设置密码失效时间"
elif [ `cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'| awk '{print $2}'` -gt 180 ] || [ `cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'| awk '{print $2}'` -lt 60 ]; then
echo "检测结果为:设置密码失效时间不在60-180天范围内"
else
echo "检测结果为:设置密码失效时间在60-180天范围内"
fiecho "----------------检测是否设置修改密码最小间隔时间----------------"
#在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
pass_min_days=`cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v '#'`
if [ -z "$pass_min_days" ]; then
echo "检测结果为:未设置修改密码最小间隔时间"
elif [ `cat /etc/login.defs | grep PASS_MIN_DAYS | grep -v '#'| awk '{print $2}'` -gt 14 ] || [ `cat /etc/login.defs | grep PASS_MAX_DAYS | grep -v '#'| awk '{print $2}'` -lt 7 ]; then
echo "检测结果为:设置修改密码最小间隔时间不在7-14天范围内"
else
echo "检测结果为:设置修改密码最小间隔时间在7-14天范围内"
fiecho "----------------检测密码过期告警时间是否大于等于7天----------------"
#密码过期警告时间应:大于等于7天;
set -e
cfgfile='/etc/login.defs'if [ `grep -E '^PASS_WARN_AGE' ${cfgfile} | awk '{print $2}'` -ge 7 ]
then
echo "检测结果为:密码过期告警时间已设置大于等于7天"else
echo "检测结果为:密码过期告警时间未设置大于等于7天"fiecho "----------------检测SSH访问是否受限制----------------"
#/etc/ssh/sshd_config文件中应存以下其中之一:
#AllowUsers <userlist>
#AllowGroups <grouplist>
#DenyUsers <userlist>
#DenyGroups <grouplist>
set -e  ##返回任何非0状态即退出脚本执行
sshd_config='/etc/ssh/sshd_config'
sshstatus=`ps -ef | grep sshd | grep -v grep | awk -F ' ' '{print $8$9}'`
if [ -z "$sshstatus" ]
then
echo "检测结果为:未开启ssh服务"
exit 2
fi
if [ -z "`grep -E '^AllowUsers|^AllowGroups|^DenyUsers|^DenyGroups' ${sshd_config}`" ]
then
echo "检测结果为:SSH访问未受限制"
else
echo "检测结果为:SSH访问已受限制"
fiecho "----------------检测SSH LogLevel设置是否为INFO----------------"
#开启日志info日志格式可以记录很多的日志信息以便回溯,比如登录操作告警失败等信息
sshd_confi='/etc/ssh/sshd_config'
log_level=`cat $sshd_confi | grep "LogLevel"| grep -v '^#'| awk -F ' ' '{print$1}'`
if [ -z "$log_level" ]; then
echo "检测结果为:SSH LogLevel设置为INFO"
elif [ "`cat $sshd_confi | grep "LogLevel"| grep -v '^#LogLevel' | awk '{print $2}'`" == "INFO" ]; then
echo "检测结果为:SSH LogLevel设置为INFO"
else
echo "检测结果为:SSH LogLevel设置为$log_level"
fiecho "----------------检测SSH的MaxAuthTries是否设置为小于等于4----------------"
#用于指定SSH服务器允许客户端进行身份验证尝试的最大次数
set -e
cfg='/etc/ssh/sshd_config'
cfgstatus1=`cat $cfg | grep MaxAuthTries | grep -v '#'| awk -F ' ' '{print$1}'`
if [ -z "$cfgstatus1" ]
then
echo "检测结果为:未设置此参数"
elif [ `cat $cfg | grep MaxAuthTries | grep -v '#'| awk -F ' ' '{print$2}'` -le 6 ]
then
echo "检测结果为:已设置为小于等于6"
else
echo "检测结果为:未设置为小于等于6"
fiecho "----------------检测是否禁用ssh端口转发功能----------------"
#GatewayPorts 设置no或者注释掉
result=`cat /etc/ssh/sshd_config | grep GatewayPorts | grep -v '#' | awk -F ' ' '{print$NF}'`if [ "$result" == "no" ] | [ -z  "$result" ];thenecho "检测结果为:已禁用ssh端口转发"
elseecho "检测结果为:已启用ssh端口转发"
fiecho "----------------检测ROOT是否UID为0的唯一用户----------------"
#root应为唯一的UID为0用户
set -e
cfgfile='/etc/passwd'
if [ `cat passwd | awk -F ':' '$3 == 0{print $1}'|wc -l` -eq 1 -a "`cat passwd | awk -F ':' '$3 == 0{print $1}'`" == "root" ]
then
echo "检测结果为:root是uid为0的唯一用户"else
echo "检测结果为:root不是uid为0的唯一用户"fiecho "----------------检测ROOT是否GID为0的唯一用户----------------"
#root应为唯一的GID为0用户
set -e
cfgfile='/etc/passwd'
root_gid=`cat ${cfgfile}|grep -E ^root | awk -F ':' '{print $4}'`
if [ ${root_gid} -eq 0 ]
then
echo "检测结果为:root是gid为0的唯一用户"else
echo "检测结果为:root不是gid为0的唯一用户"fiecho "----------------SSH空闲超时间隔是否设置----------------"
#/etc/ssh/sshd_config文件中 ClientAliveInterval应设置为:等于18000 ClientAliveCountMax应设置为:等于2
set -e
cfgfile='/etc/ssh/sshd_config'
ClientAliveInterval_key=`cat ${cfgfile} | grep ClientAliveInterval | awk '{print $1}'`
ClientAliveInterval_value=`cat ${cfgfile} | grep ClientAliveInterval | awk '{print $2}'`
ClientAliveCountMax_key=`cat ${cfgfile} | grep ClientAliveCountMax | awk '{print $1}'`
ClientAliveCountMax_value=`cat ${cfgfile} | grep ClientAliveCountMax | awk '{print $2}'`
if [ "${ClientAliveInterval_key}" == "" -o "${ClientAliveInterval_key}" == "#ClientAliveInterval" -o "${ClientAliveCountMax_key}" == "" -o "${ClientAliveCountMax_key}" == "#ClientAliveCountMax" ]
then
echo "检测结果为:未设置最大空闲时间"else
if [ ${ClientAliveInterval_value} -eq 18000 -a ${ClientAliveCountMax_value} -eq 2 ]
then
echo "检测结果为:最大空闲时间已设置为18000秒(5小时)X2=36000秒(10小时)"else
echo "检测结果为:最大空闲时间未设置为18000秒(5小时)X2=36000秒(10小时)"fi
fiecho "----------------检测是否禁止普通用户执行高危命令----------------"  
#/usr/bin/yum 权限为700 /usr/bin/rpm权限为700 /usr/bin/rz权限为700 /usr/bin/sz权限为700 /usr/bin/scp权限为700
#file1="/usr/bin/rz" 禁止普通用户上传
file2="/usr/bin/sz"  ##禁止普通用户下载(办公网与运维网场景不一样可能需要开放)
file4="/usr/bin/yum" ##禁止普通用户执行
file5="/usr/bin/rpm" ##禁止普通用户执行
permission="700"  # 替换为你期望的权限值,此值为仅支持root用户执行  
if [[ -f "$file1" && "$(stat -c '%a' "$file1")" == "$permission" ]]; then  echo "检测结果为:已禁止普通用户执行rz命令"
elseecho "检测结果为:未禁止普通用户执行rz命令"    
fi  if [[ -f "$file2" && "$(stat -c '%a' "$file2")" == "$permission" ]]; then  echo "检测结果为:已禁止普通用户执行sz命令"
elseecho "检测结果为:未禁止普通用户执行sz命令"    fi  if [[ -f "$file3" && "$(stat -c '%a' "$file3")" == "$permission" ]]; then  echo "检测结果为:已禁止普通用户执行scp命令"
elseecho "检测结果为:未禁止普通用户执行scp命令"     
fi  if [[ -f "$file4" && "$(stat -c '%a' "$file4")" == "$permission" ]]; then  echo "检测结果为:已禁止普通用户执行yum命令"
elseecho "检测结果为:未禁止普通用户执行yum命令"    
fiif [[ -f "$file5" && "$(stat -c '%a' "$file5")" == "$permission" ]]; then  echo "检测结果为:已禁止普通用户执行rpm命令"
elseecho "检测结果为:未禁止普通用户执行rpm命令"      fiecho "----------------检测是否禁用普通用户修改高危文件----------------"
#/etc/passwd权限为644/etc/group权限为644/etc/shadow权限为400/etc/gshadow权限为400/etc/hosts.deny权限为644/etc/hosts.allow权限为644
file1="/etc/passwd" ##禁止普通用户更改
file2="/etc/shadow" ##禁止普通用户查看
file3="/etc/group" ##禁止普通用户更改
file4="/etc/gshadow" ##禁止普通用户查看
file5="/etc/hosts.deny" ##禁止普通用户更改
file6="/etc/hosts.allow" ##禁止普通用户更改
permission1="644"  # 替换为你期望的权限值,此值为仅支持root用户更改  
permission2="400"  # 替换为你期望的权限值,即只有root用户可查看
if [[ -f "$file1" && "$(stat -c '%a' "$file1")" == "$permission1" ]]; then  echo "检测结果为:已禁止普通用户更改passwd文件"
elseecho "检测结果为:未禁止普通用户更改passwd文件"    
fi  
if [[ -f "$file3" && "$(stat -c '%a' "$file3")" == "$permission1" ]]; then  echo "检测结果为:已禁止普通用户更改group文件"
elseecho "检测结果为:未禁止普通用户更改group文件"    
fi  if [[ -f "$file2" && "$(stat -c '%a' "$file2")" == "$permission2" ]]; then  echo "检测结果为:已禁止普通用户读取shadow文件"
elseecho "检测结果为:未禁止普通用户读取shadow文件"    fi
if [[ -f "$file4" && "$(stat -c '%a' "$file4")" == "$permission2" ]]; then  echo "检测结果为:已禁止普通用户读取gshadow文件"
elseecho "检测结果为:未禁止普通用户读取gshadow文件"    
fi  
if [[ -f "$file5" && "$(stat -c '%a' "$file5")" == "$permission2" ]]; then  echo "检测结果为:已禁止普通用户更改hosts.deny文件"
elseecho "检测结果为:未禁止普通用户更改hosts.deny文件"    
fi  
if [[ -f "$file6" && "$(stat -c '%a' "$file6")" == "$permission2" ]]; then  echo "检测结果为:已禁止普通用户更改hosts.allow文件"
elseecho "检测结果为:未禁止普通用户更改hosts.allow文件"    
fi

http://www.lryc.cn/news/317696.html

相关文章:

  • Seata源码流程图
  • 英飞凌电源管理PMIC的安全应用
  • 快速在Linux系统安装MySQL
  • 数据库相关理论知识(有目录便于直接锁定相关知识点+期末复习)
  • NCC环境配置
  • 用python实现Dubins曲线生成
  • 智能技术上的“是”并不代表具体领域的“应该”
  • 永热爱 敢向前 | Paraverse平行云的2023 年终总结
  • c/c++的内存分配,详细说一下栈、堆和静态存储区
  • 每日构造题训练——C. Divan and bitwise operations
  • 【C++练级之路】【Lv.13】多态(你真的了解虚函数和虚函数表吗?)
  • 如何在Windows系统安装Node.js环境并制作html页面发布公网远程访问?
  • C#,数值计算,希尔伯特矩阵(Hilbert Matrix)的算法与源代码
  • 【C++教程从0到1入门编程】第八篇:STL中string类的模拟实现
  • 学生时期学习资源同步-1 第一学期结业考试题6
  • 迁移学习怎么用
  • 医疗手持智能终端读取条码二维码的难点有哪些?
  • Python小设计
  • 今日讲讲父子传值~
  • 三、HarmonyOS 应用开发入门之运行Hello World
  • 国科大网络行为学导论代码作业--更新中
  • JAVA后端开发面试基础知识(九)——SpringBoot
  • C#调用Halcon出现尝试读取或写入受保护的内存,这通常指示其他内存已损坏。System.AccessViolationException
  • ts基础知识
  • KLayout Python Script ------ 绘制1个 Box 物体
  • c# 编辑、删除一条数据
  • 高性能服务系列【八】C10M时代,网络IO库需要重建
  • Go语言与Rust哪一个更有发展前景?
  • STM32使用定时器驱动电机
  • C语言游戏实战(4):人生重开模拟器