linux系統(tǒng)檢查列表_第1頁
linux系統(tǒng)檢查列表_第2頁
linux系統(tǒng)檢查列表_第3頁
linux系統(tǒng)檢查列表_第4頁
linux系統(tǒng)檢查列表_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、linux Security CheckList Linux主機(jī)檢查流程二二一二二一年十二月安氏互聯(lián)網(wǎng)安全系統(tǒng)(中國)有限公司1 系統(tǒng)信息1.1 主機(jī)名1.2 域名1.3 信息檢查1.3.1說明:得到系統(tǒng)主機(jī)名、域名1.3.2 檢查方法:hostname domainname1.1.1 結(jié)果分析方法:# hostname# domainname(none)1.4系統(tǒng)版本信息檢查1.4.1說明:得到系統(tǒng)版本信息1.4.2檢查方法:uname -a1.5網(wǎng)卡信息以及混雜模式檢查1.5.1 說明:得到網(wǎng)卡信息1.5.2 檢查方法:ifconfig -a1.6系統(tǒng)路由信息檢查1.6.1說明:得到系統(tǒng)路

2、由信息1.6.2檢查方法:netstat -r 1.7系統(tǒng)加載模塊信息檢查1.7.1說明:查看系統(tǒng)已加載的模塊1.7.2檢查方法:lsmod2 補(bǔ)丁安裝情況2.1 系統(tǒng)已安裝的rpm包信息檢查2.2說明:得到系統(tǒng)已經(jīng)安裝的rpm包列表2.3 檢查方法:rpm -qa2.4 結(jié)果分析方法:# rpm -qa3帳號(hào)和口令3.1系統(tǒng)空密碼帳號(hào)信息檢查3.1.1說明:查看系統(tǒng)是否存在空密碼帳號(hào)3.1.2檢查方法:awk -F: '($2 = = "") print $1 ' /etc/shadow3.2系統(tǒng)uid=0帳號(hào)信息檢查3.2.1說明:分析系統(tǒng)是否存在uid

3、=0 帳號(hào) 以及其他uid相同帳號(hào)3.2.2檢查方法:cat /etc/passwd |awk -F: 'OFS="|"print $1,$3,$4,$7'3.3系統(tǒng)缺省用戶(組)信息檢查3.3.1說明:得到系統(tǒng)缺省用戶(組)3.3.2檢查方法:cat /etc/passwdcat /etc/group 3.3.3結(jié)果分析方法:查看是否存在系統(tǒng)缺省帳號(hào)以及缺省系統(tǒng)組,如:lp,sync,shutdown,halt,news,uucp,operator,games,gopher等3.4系統(tǒng)帳號(hào)shell變量以及noshell文件真實(shí)性信息檢查3.4.1說明:得

4、到系統(tǒng)帳號(hào)shell變量3.4.2檢查方法:cat /etc/passwd |awk F: print $7|xargs ls -al3.5passwd、shadow文件檢查3.5.1說明:檢查系統(tǒng)passwd、shadow文件,確保系統(tǒng)中每個(gè)用戶都有密碼,并且密碼被shadow。3.5.2檢查方法:pwck3.5.3結(jié)果分析方法:# pwck 3.6系統(tǒng)缺省密碼最短長度檢查3.6.1說明:得到系統(tǒng)缺省密碼最短長度3.6.2檢查方法:cat /etc/login.defs | grep PASS_MIN_LEN3.7系統(tǒng)自動(dòng)注銷帳號(hào)登錄檢查3.7.1說明:得到超時(shí)后系統(tǒng)自動(dòng)注銷帳號(hào)登錄信息3.

5、7.2檢查方法:cat /etc/profile | grep TMOUT3.7.3結(jié)果分析方法:# cat /etc/profile | grep TMOUT3.7.4備3.7.5注:本例輸出表示并未對(duì)自動(dòng)注銷帳號(hào)登錄作設(shè)置3.8root PATH環(huán)境變量檢查3.8.1說明:得到root PATH環(huán)境變量,是否包含當(dāng)前目錄“.”3.8.2檢查方法:echo $PATH | grep “:.”3.8.3結(jié)果分析方法:# echo $PATH | grep “:.”3.8.4備3.8.5注:此檢查有一定的局限性,只檢查了當(dāng)前用戶的路徑設(shè)置。3.9禁止使用ftp的帳號(hào)檢查3.9.1說明:得到禁止使

6、用ftp的帳號(hào)3.9.2檢查方法:cat /etc/ftpusersftp localhostftp enter3.11允許su為root的帳號(hào)信息檢查3.11.1說明:檢查是否允許任何人su為root3.11.2檢查方法:vi /etc/pam.d/su3.11.6bash shell保存少量命令檢查 以及shell history輸出文件路徑檢查3.11.7說明:得到bash shell能保存的命令條數(shù)3.11.8檢查方法:cat /etc/profile | grep HISTSIZEcat /etc/profile |grep HISTFILE 3.12用戶對(duì)主機(jī)使用的限制檢查3.12

7、.1說明:得到系統(tǒng)限制用戶對(duì)主機(jī)使用的信息3.12.2 檢查方法檢查是否加載了/lib/security/pam_limits.so動(dòng)態(tài)連接庫cat /etc/pam.d/login|grep “/lib/security/pam_limits.so”若存在檢查cat /etc/security/limits.conf 3.13系統(tǒng)是否允許guest或匿名3.14連接信息檢查3.13.1說明:查看系統(tǒng)是否允許guest或匿名連接3.13.2檢查方法:cat /etc/ftpaccess | grep class3.13.3結(jié)果分析方法:# cat /etc/ftpaccess | grep c

8、lass# User classes.class all real,guest,anonymous *4網(wǎng)絡(luò)與服務(wù)4.1系統(tǒng)運(yùn)行r進(jìn)程檢查4.1.1說明:得到系統(tǒng)運(yùn)行進(jìn)程4.1.2檢查方法:ps -aux4.1.3結(jié)果分析方法:# ps -aux 4.1.4備5.1.5注:計(jì)算系統(tǒng)運(yùn)行進(jìn)程個(gè)數(shù):# ps -aux | wc -l4.2系統(tǒng)打開端口信息檢查4.2.1說明:得到系統(tǒng)打開的端口信息4.2.2檢查方法:netstat an5xinetd/inetd服5.6務(wù)信息檢查5.6.1說明:查看系統(tǒng)是否運(yùn)行xinetd/inetd服務(wù)5.6.2檢查方法:ps -ef| grep inetd ;

9、grep v “#” /etc/inetd.conf;ps -ef | grep xinetd;grep “disable” /etc/xinetd.d/*5.7/etc/hosts.conf信息檢查5.7.1說明:得到系統(tǒng)解析地址順序 5.7.2檢查方法:cat /etc/host.conf5.8/etc/hosts.equiv信息檢查5.8.1說明:查看是否存在/etc/hosts.equiv文件5.8.2檢查方法:ls -al /etc/hosts.equiv && cat /etc/hosts.equiv5.9檢查/etc/rc.d/rc?.d自動(dòng)運(yùn)行腳本文件權(quán)限 修日

10、期 分析5.9.1說明:得到當(dāng)前系統(tǒng)運(yùn)行等級(jí)ps ef|grep init5.9.2檢查方法:ls -al /etc/rc?.d/若發(fā)現(xiàn)不正常啟動(dòng)腳本 檢查其中包含字符串string 文件路徑5.10開放端口與進(jìn)程信息檢查5.10.1說明:查看某個(gè)開放端口由哪個(gè)進(jìn)程打開5.10.2檢查方法:假設(shè)要查看的開放端口是2401,執(zhí)行fuser -n tcp 2401,返回的進(jìn)程ID為pid,-u 參數(shù)查看當(dāng)前進(jìn)程uid相關(guān)的所有進(jìn)程再執(zhí)行ps -ef | grep pid5.11/etc/rc.d/rc0-6.d各個(gè)等級(jí)腳本運(yùn)行/關(guān)閉信息檢查5.11.1說明:查看/etc/rc.d/rc0-6.d下

11、運(yùn)行的腳本5.11.2檢查方法:chkconfig list 5.12系統(tǒng)ping響應(yīng)信息檢查5.12.1說明:查看系統(tǒng)是否響應(yīng)ICMP請(qǐng)求5.12.2檢查方法:cat /proc/sys/net/ipv4/icmp_echo_ignore_all輸出為0 不使用該功能輸出為1 使用該功能 5.13系統(tǒng)是否安裝ftp以及當(dāng)前使用版本信息檢查5.13.1說明:查看系統(tǒng)是否安裝ftp軟件包5.13.2檢查方法:rpm -qa | grep ftpftp localhost5.14系統(tǒng)是否存在sendmail服務(wù).極其版本檢查5.14.1說明:查看系統(tǒng)是否存在sendmail服務(wù)或relay進(jìn)程5.

12、14.2檢查方法:ps ef|grep sendmailtelnet localhost 256文件系統(tǒng)6.1初始文件創(chuàng)建權(quán)限信息檢查6.1.1說明:查看系統(tǒng)初始文件創(chuàng)建權(quán)限6.1.2檢查方法:touch /tmp/testls al /tmp/test或者umask -S6.1.3關(guān)鍵文件極其目錄屬性信息檢查6.2說明:查看系統(tǒng)關(guān)鍵文件屬性6.2.1檢查方法:ls -al file_name6.2.2結(jié)果分析方法:應(yīng)對(duì)于如下系統(tǒng)關(guān)鍵文件屬性進(jìn)行檢查:/etc/shadow /var/log/messages /var/log/wtmp /var/run/utmp/etc/rc.d/init.

13、d /etc/inittab /etc/group /etc/crontab /var/spool/cron/etc/securetty /etc/lilo.conf /etc/grub.conf /usr/sbin/init6.3/tmp屬性信息檢查6.3.1說明:查看/tmp目錄屬性ls al / |grep tmp6.3.2備6.4.5注:本例輸出表示/tmp目錄已設(shè)置sticky位6.5系統(tǒng)特殊文件信息檢查6.5.1說明:查看系統(tǒng)存在的特殊文件(SUID/SGID程序,/dev下的非設(shè)備文件,非/dev下的設(shè)備文件,所有可寫的文件,沒有屬主的文件)6.5.2檢查方法:查找SUID/SG

14、ID程序:# find / -type f ( -perm -04000 -o -perm -02000 ) -ls查找/dev下的非設(shè)備文件:# find /dev -type f -exec ls -l ;查找非/dev下的設(shè)備文件:# find / ( -type b -o -type c) -print | grep -v '/dev/'查找所有可寫的文件:# find / -perm -2 ! -type l -ls查找沒有屬主的文件:# find / ( -nouser -o -ongroup) -print6.6系統(tǒng)分區(qū)加載信息檢查6.6.1說明:查看系統(tǒng)分區(qū)加載

15、情況6.6.2檢查方法:mountcat /etc/fstab6.6.3結(jié)果分析方法:# mount # cat /etc/fstab 6.7NFS共享文件系統(tǒng)信息檢查6.7.1說明:查看本地是否存在NFS服務(wù)shoumount e若成功則檢查 cat /etc/exportt6.8是否掛載載nfs文件系統(tǒng)信息檢查6.8.1說明:查看系統(tǒng)加載的nfs文件系統(tǒng)信息6.8.2檢查方法:df -k6.8.3結(jié)果分析方法:# df -k 7日志審核7.1系統(tǒng)AUTH日志信息檢查7.1.1說明:查看系統(tǒng)AUTH日志信息7.1.2檢查方法:cat syslog.conf | grep auth7.1.3結(jié)

16、果分析方法:# cat syslog.conf | grep auth# Don't log private authentication messages!*.info;mail.none;authpriv.none;cron.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure7.1.4備7.1.5注:本例輸出表示AUTH日志信息均發(fā)往/var/log/secure8本地安全增強(qiáng)性8.1系統(tǒng)啟動(dòng)LILO密碼設(shè)置檢查8.1.1說明:查看系統(tǒng)啟動(dòng)LILO是否設(shè)

17、置密碼8.1.2檢查方法:cat /etc/lilo.conf | grep passwd8.2系統(tǒng)禁止Control-Alt-Delete鍵盤關(guān)閉命令信息檢查8.2.1說明:查看系統(tǒng)是否禁止Control-Alt-Delete鍵盤關(guān)閉命令8.2.2檢查方法:cat /etc/inittab | grep ca8.3檢查以下文件是否為空 防止login泄露系統(tǒng)版本8.3.1說明:查看系統(tǒng)是否屏蔽提示信息8.3.2檢查方法:查看/etc/issue、/etc/以及/etc/redhat-release文件8.4系統(tǒng)啟動(dòng)時(shí)默認(rèn)init運(yùn)行等級(jí)信息檢查8.5.1說明:查看系統(tǒng)啟動(dòng)時(shí)默認(rèn)init運(yùn)行等

18、級(jí)8.5.2檢查方法:cat /etc/inittab | grep id8.5.3結(jié)果分析方法:# cat /etc/inittab | grep idid:3:initdefault:8.6系統(tǒng)控制臺(tái)訪問信息檢查8.6.1說明:查看哪些系統(tǒng)帳號(hào)可以從控制臺(tái)登錄8.6.2 檢查方法:檢查pam驗(yàn)證模塊是否使用了該功能cat /etc/pam.d/login |grep /lib/security/pam_access.so若存在則檢查是否設(shè)置了access 用戶登陸控制列表cat /etc/security/access.conf | grep -v "#""8

19、.7系統(tǒng)虛擬設(shè)備8.8檢查8.8.1說明:查看哪些系統(tǒng)虛擬設(shè)備允許遠(yuǎn)程連接8.8.2檢查方法:cat /etc/securetty | grep -v "tty"8.8.3結(jié)果分析方法:# cat /etc/securetty | grep -v "tty" 說明 查看當(dāng)前模塊符號(hào)列表是否和核心export一至性檢查是否有非法插入模塊 /sbin/lsmod |grep unused檢查是否存在失效模塊 /sbin/lsmod |grep autoclean檢查核心內(nèi)存符號(hào)輸出表 然后比對(duì)/sbin/lsmod符號(hào)表輸出表export的模

20、塊命是否一至/sbin/ksyms -a |grep insmod檢查是否劫持syscall表調(diào)用cat /proc/ksyms |grep sys_call徹底檢查 第三方檢測工具 kstat將直接檢查/dev/kmem 核心內(nèi)存 輸出正確核心符號(hào)列表地址 防止有些非法模塊劫持核心符號(hào)輸出kstat 是第三方檢測工具 請(qǐng)從下載原代碼版本編譯然后執(zhí)行kstat |grep insmod 比對(duì) /sbin/ksyms -a |grep insmod 結(jié)果2.1.1 使用usermod的L參數(shù)來鎖定用戶口令2.1.2 查看根用戶是否限制了SHELL HISTORY記錄大小以及是

21、否清空HISTFILE中儲(chǔ)存的shell命令記錄2.1.3 檢查方法echo $HISTSIZE2.1.4 對(duì)于本地網(wǎng)絡(luò)協(xié)議層安全性配置參數(shù)檢查2.1.5 檢查方法proc/sys/net/ipv4/ip_local_port_range 向外發(fā)送數(shù)tcp/udp連接 端口發(fā)起范圍/proc/sys/net/ipv4/ip_forward 是否禁止ip轉(zhuǎn)發(fā)/proc/sys/net/ipv4/icmp_echo_ignore_all 是否禁止本地主機(jī)icmp數(shù)據(jù)包響應(yīng)/proc/sys/net/ipv4/conf/all/log_martians 是否將偽造地址等消息記錄到/var/log/m

22、essages/proc/sys/net/ipv4/conf/eth0/forwarding 是否接受含有原路由信息的ip包2.1.6 檢查本地默認(rèn)連接的網(wǎng)關(guān)是否靜態(tài)配置了MAC/IP綁定2.1.7 說明 減少arp欺騙可能 2.1.8 檢查方法cat /etc/ether && arp a 2.1.9 初步審核wtmp wtmpx日志審核查看每個(gè)用戶連接時(shí)間統(tǒng)計(jì)ac p 查訊該用戶上次登陸時(shí)間lastlog 用戶名 lastlog t 10查看離現(xiàn)在10天前的用戶log情況last u 指定uid用戶登陸情況 若安裝TCP_Wrappers 請(qǐng)檢查tcpd.log若syslo

23、g.conf為默認(rèn)值 請(qǐng)檢查/var/log/maillog 記錄2.1.10 日志安全性評(píng)估極其系統(tǒng)默認(rèn)輸出日志檢查 檢查本地syslog是否默認(rèn)記錄到默認(rèn)目錄2.1.11 檢查方法more /etc/syslog.conf 特別是auth以及kernel等記錄輸出位置檢查 /var/log/srcure文件中服務(wù)層登陸情況 檢查核心錯(cuò)誤輸出極其消息 根據(jù)/etc/syslog.conf中kernel輸出文件來檢查檢查/var/log/sulog 審核用戶su成功和失敗記錄2.1.12 檢查本地sysctl配置文件查看是否嚴(yán)格限制了本地網(wǎng)絡(luò)配置參數(shù)2.1.13 檢查方法檢查判斷本地網(wǎng)絡(luò)數(shù)據(jù)層

24、安全性極其是否為默認(rèn)不安全配置more /etc/sysctl.conf2.1.14 檢查是否存在這兩個(gè)核心模塊和核心函數(shù)漏洞2.1.15 重要漏洞一ptrace/kmod 漏洞 本地提升權(quán)限2.1.16 檢查方法more /proc/sys/kernel/modprobe2.1.17 重要漏洞二 brk() do brk() 本地提升權(quán)限2.1.18 檢查方法查看當(dāng)前內(nèi)核版本 uname a 來確定是否肯能存在上述漏洞小于 2.4.23版本 基本都存在這兩個(gè)問題查看普通用戶內(nèi)存分布map圖cat /proc/self/maps 是否為默認(rèn)map結(jié)構(gòu)2.1.19 檢查rpc服務(wù)開放狀態(tài)2.1.20 說明 linux rpc服務(wù)中許多服務(wù)都存在遠(yuǎn)程利用2.1.21 檢查方法 rpcinfo p 檢查以下關(guān)鍵字 walld statd mount lock cmsd passwd 2.1.22 對(duì)openssh安全性做檢查2.1.23 檢查方法telnet localhost 22more openssh安裝目錄/sshd_configmore openssh安裝目錄/ssh_host_keymore openssh 安裝目錄/ssh_host_keyls al openssh 安裝目錄/2.1.24 備注 若使用openssh請(qǐng)檢查ope

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論