linux基线检查

身份鉴别
1.空口令账户查看:
#cat /etc/shadow 密码口令以密文形式存储 awk -F: ‘( == “”) { print }’ /etc/shadow?

2.密码策略:
#cat /etc/login.defs |grep PASS_MIN_LEN 密码最短长度
#cat /etc/login.defs |grep PASS_MAX_DAYS 密码最大生存周期
#cat /etc/login.defs |grep PASS_MIN_DAYS 密码最小生存周期
#cat /etc/login.defs |grep PASS_WARN_AGE 登录密码过期提前多少天
登录失败断开连接的设置:
# cat /etc/pam.d/system-auth 在auth行中deny=尝试次数 unlock_time=锁定时间

3.用户登陆超时自动注销设置:
#cat /etc/profile |grep TMOUT

4. 是否安装运行SSH:
#service –status-all |grep running

6. 查看各用户的UID:
#cat /etc/passwd 各参数以“:”分隔,分别是注册名:口令:UID:GID

访问控制
1.重要文件和目录权限设置是否合理:
#ls –l /etc/passwd ls –l /etc/shadow ls –l /etc/group

2.系统是否禁用多余账户:
#cat /etc/shadow 例如lp:*:!;15937:0:99999:7::: 有!表明该用户已被锁定禁用

3.查看多余、过期的账户:
#cat /etc/passwd 查看第三个参数大于500的是否有测试账户、过期账户未删除

安全审计
1.安全审计服务是否开启:
#service audit status
#service –status-all |grep running

2.审查规则查看:
Grep “@priv-ops” /etc/audit/filter.conf
Grep “@mount-ops” /etc/audit/filter.conf
Grep “@system-ops”/etc/audit/filter.conf
Grep “@file-ops” /etc/audit/filter.conf
Grep “@open-ops” /etc/audit/filter.conf
Grep “@execute-ops” /etc/audit/filter.conf

3.审计内容:
cat /etc/audit/auditd.conf 查看审计日志存储的位置(/var/log/audit/audit.log)再查看审计日志内容做判断

剩余信息保护
1. echo $HISTSIZE或grep HISTSIZE /etc/profile

入侵防范
1.服务查看:
#service –status-all |grep running
查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等。关闭非必需的网络服务如talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等。

2. 补丁安装情况:
#rpm –qa |grep patch
系统版本信息:
# cat /proc/version

资源控制
1.cat /etc/hosts.deny cat /etc/hosts.allow 查看在/etc/hosts.deny中是否有“ALL:ALL”,禁止所有的请求;在/etc/hosts.allow中是否有限制IP及其访问方式;

2.cat /etc/profile 查看/etc/profile中是否设置TIMEOUT环境变量;

3.cat /etc/security/limits.conf 查看/etc/security/limits.conf中参数nproc可以设置最大进程数,是否设置了用户进程优先级priority参数;