linux服务器安全配置脚本 linux服务器安全设置

如何编写自己的Linux安全检查脚本

脚本大致内容: 基本信息统计(IP地址、MAC地址、端口信息、服务信息等)、主机安全检查(包括等保三级要求主机相关的检查点)、系统性能统计(暂时未加入分析)、恶意代码、程序检查等检查点。

创新互联公司是专业的宣州网站建设公司,宣州接单;提供成都做网站、成都网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行宣州网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

脚本内容涉及到:

1、查看系统密码文件修改时间

2、查看是否开启了ssh服务

3、查看系统SSH远程访问设置策略(host.deny拒绝列表)

4、查看shell是否设置超时锁定策略

5、查看syslog日志审计服务是否开启

6、查看syslog日志是否开启外发

7、查看passwd文件中有哪些特权用户

8、查看系统中是否存在空口令账户

9、PHP、JSP、perl、Python、HTML、以及linux下可执行文件内容的检查

里面列举了一些常见webshell、提权EXP、以及Python扫描工具、嗅探工具的特征,如果发现此类相关的文件,则会显示出来,或者拷贝一份到/tmp/目录下

例如:能扫描到的linux下提权工具:

一共是172个文件。都可以扫描的到。。。。

其实整个脚本相对起来比较简单,主要用到的命令为

find / -type

if语句

awk命令

more

egrep

等命令组成。

比如说awk命令,我们用more或cat命令,读取某个文件内容,然后通过awk进行筛选和输出,来显示我们想要看的东西

例如:

more /etc/login.defs | grep -E "PASS_MAX_DAYS" | grep -v "#" |awk -F' ' '{if($2!=90){print "/etc/login.defs里面的"$1 "设置的是"$2"天,请管理员改成90天。"}}'

从这里我们可以看到,通过more来打开/etc/login.defs文件,并查找关键字 “PASS_MAX_DAYS”, 用awk命令,筛选以”为分隔符的内容,用作判断,如果$2第二个分隔符位置的内容不等于90,则输出该内容。

同理,任意针对文件内容做筛选的结果,都可以通过这样的方式去显示我们想要显示的内容。

又例如:

echo "查看系统中存在哪些非系统默认用户"

echo "root:x:“该值大于500为新创建用户,小于或等于500为系统初始用户”"

more /etc/passwd |awk -F ":" '{if($3500){print "/etc/passwd里面的"$1 "的值为"$3",请管理员确认该账户是否正常。"}}'

echo ------------------------------------------------------------------------

if语句相关:

echo --------------------------------------------------------------------------

echo "检查系统文件完整性2(MD5检查)"

echo "该项会获取部分关键文件的MD5值并入库,默认保存在/etc/md5db中"

echo "如果第一次执行,则会提示md5sum: /sbin/portmap: 没有那个文件或目录"

echo "第二次重复检查时,则会对MD5DB中的MD5值进行匹配,来判断文件是否被更改过"

file="/etc/md5db"

if [ -e "$file" ]; then md5sum -c /etc/md5db 21;

else

md5sum /etc/passwd /etc/md5db

md5sum /etc/shadow /etc/md5db

md5sum /etc/group /etc/md5db

md5sum /usr/bin/passwd /etc/md5db

md5sum /sbin/portmap/etc/md5db

md5sum /bin/login /etc/md5db

md5sum /bin/ls /etc/md5db

md5sum /bin/ps /etc/md5db

md5sum /usr/bin/top /etc/md5db;

fi

echo ----------------------------------------------------------------------

这里呢,对部分敏感文件的MD5值做了下验证,大致思路是,先检查 /etc/md5db 是否存在,如果不存在的话,则将所涉及文件的MD5值入库,并保存到 /etc/md5db文件中,当我们第二次对服务器进行检查时,则会对比两次的MD5值,如果MD5值发生变化,则会进行提醒。

脚本本身没什么复杂的东西,我先贴出部分内容,供大家参考下。

#!/bin/bash

echo " (__)"

echo " (oo)"

echo " /------\/ "

echo " / | || "

echo " * /\---/\ "

echo " ~~ ~~ "

echo "...."Are You Ready?"..."

read key

echo "警告:本脚本只是一个检查的操作,未对服务器做任何修改,管理员可以根据此报告进行相应的设置。"

echo ---------------------------------------主机安全检查-----------------------

echo "系统版本"

uname -a

echo --------------------------------------------------------------------------

echo "本机的ip地址是:"

ifconfig | grep --color "\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}"

echo --------------------------------------------------------------------------

awk -F":" '{if($2!~/^!|^*/){print "("$1")" " 是一个未被锁定的账户,请管理员检查是否需要锁定它或者删除它。"}}' /etc/shadow

echo --------------------------------------------------------------------------

more /etc/login.defs | grep -E "PASS_MAX_DAYS" | grep -v "#" |awk -F' ' '{if($2!=90){print "/etc/login.defs里面的"$1 "设置的是"$2"天,请管理员改成90天。"}}'

echo --------------------------------------------------------------------------

more /etc/login.defs | grep -E "PASS_MIN_LEN" | grep -v "#" |awk -F' ' '{if($2!=6){print "/etc/login.defs里面的"$1 "设置的是"$2"个字符,请管理员改成6个字符。"}}'

echo --------------------------------------------------------------------------

more /etc/login.defs | grep -E "PASS_WARN_AGE" | grep -v "#" |awk -F' ' '{if($2!=10){print "/etc/login.defs里面的"$1 "设置的是"$2"天,请管理员将口令到期警告天数改成10天。"}}'

echo --------------------------------------------------------------------------

grep TMOUT /etc/profile /etc/bashrc /dev/null|| echo "未设置登录超时限制,请设置之,设置方法:在/etc/profile或者/etc/bashrc里面添加TMOUT=600参数"

echo --------------------------------------------------------------------------

if ps -elf |grep xinet |grep -v "grep xinet";then

echo "xinetd 服务正在运行,请检查是否可以把xinnetd服务关闭"

else

echo "xinetd 服务未开启"

fi

echo --------------------------------------------------------------------------

echo "查看系统密码文件修改时间"

ls -ltr /etc/passwd

echo --------------------------------------------------------------------------

echo "查看是否开启了ssh服务"

if service sshd status | grep -E "listening on|active \(running\)"; then

echo "SSH服务已开启"

else

echo "SSH服务未开启"

fi

echo --------------------------------------------------------------------------

echo "查看是否开启了TELNET服务"

if more /etc/xinetd.d/telnetd 21|grep -E "disable=no"; then

echo "TELNET服务已开启 "

else

echo "TELNET服务未开启 "

fi

echo --------------------------------------------------------------------------

echo "查看系统SSH远程访问设置策略(host.deny拒绝列表)"

if more /etc/hosts.deny | grep -E "sshd: ";more /etc/hosts.deny | grep -E "sshd"; then

echo "远程访问策略已设置 "

else

echo "远程访问策略未设置 "

fi

echo --------------------------------------------------------------------------

求一个批量ssh登录linux服务器,修改配置文件的脚本参考一下。

1、可以配置无密码访问或者用sshpass在shell中存密码

2、实例

ip.txt包含ip列表,每行一个ip

test.sh保护修改配置的命令或者直接修改好,复制到远程指定路径。

3、代码

#!/bin/sh

for ip in `cat ip.txt`; do

echo ${ip};

scp -P22 test.sh root@${ip}:/opt;

ssh -p22 root@$ip "cd /opt;./test.sh;"

done

exit 0;

请教高手关于用 iptables 配置LINUX服务器防火墙的脚本

1. vi iptables.sh

2. 在iptables.sh文件中写以下内容

#!/bin/bash

iptables -P INPUT DROP

IP=192.168.11.0/24

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT (这三条满足入站要求1)

iptables -A INPUT -s $IP -p tcp --dport 23 -j ACCEPT 允许telnet

iptables -A INPUT -s $IP -p tcp --dport 22 -j ACCEPT 允许ssh

iptables -A INPUT -s $IP -p icmp -j ACCEPT 允许ping

我觉得这就可以了,因为output链我们没有关闭,所以是允许本主机访问其他主机的服务的,关键是其他主机是否会返回信息。


网站栏目:linux服务器安全配置脚本 linux服务器安全设置
分享链接:http://myzitong.com/article/dohgpej.html