前言
日常漏洞修复,本文不定时更新
步骤
#######################################################################
###########################LINUX 配置规范###############################
######################################################################
#!/bin/bash
##检查口令最小长度
cp /etc/login.defs /etc/login.defs.back
sed -i "/^PASS_MIN_LEN/c PASS_MIN_LEN 8" /etc/login.defs
##检查口令生存周期
sed -i "/^PASS_MAX_DAYS/c PASS_MAX_DAYS 90" /etc/login.defs
##检查设备密码复杂度策略
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
sed -i "/^password/i password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1" /etc/pam.d/system-auth
##检查是否设置文件与目录缺省权限
cp /etc/profile /etc/profile.bak
sed -i "/umask 002/c umask 027" /etc/profile
##检查是否设置命令行界面超时退出
sed -i "/^TMOUT=1800/c TMOUT=300" /etc/profile
##检查是否限制root用户远程登录
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -i "/^PermitRootLogin/c PermitRootLogin no" /etc/ssh/sshd_config
#重启sshd服务
##检查是否配置远程日志功能
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
sed -i "/*.* @@remote-host:514/c *.* @@remote-host:514" /etc/rsyslog.conf
##检查是否配置用户所需最小权限
#检查/etc/group文件权限
# chmod 644 /etc/group
#检查/etc/passwd文件权限
# chmod 644 /etc/passwd
#检查/etc/shadow文件权限
chmod 600 /etc/shadow
##检查是否修改系统banner
#删除"/etc"目录下的 issue.net 和 issue 文件:
mv /etc/issue /etc/issue.bak
mv /etc/issue.net /etc/issue.net.bak
##sshd弱算法
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
echo "Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc" >> /etc/ssh/sshd_config
systemctl restart sshd.service
##检查是否安装OS补丁
#可以使用OnlineUpdate或Patch CD Update等方式升级系统补丁
##检查FTP Banner设置
#1.修改vsftp回显信息
## vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)
#ftpd_banner=” Authorized users only. All activity will be monitored and reported.”
#可根据实际需要修改该文件内容。
#重启服务:
## /etc/init.d/vsftpd restart
#2.修改pure-ftp配置文件:
##vi /etc/pure-ftpd/pure-ftpd.conf
#找到以下行,确保该行未被注释。
#FortunesFile /usr/share/fortune/zippy
#编辑/usr/share/fortune/zippy文件(如没有fortune文件夹或者zippy文件,则新建该文件夹或该文件):
##vi /usr/share/fortune/zippy
#将自定义BANNER写入其中。
#重启服务:
## /etc/init.d/pure-ftpd restart
##检查FTP用户上传的文件所具有的权限
#如果系统使用vsftp:
#修改/etc/vsftpd.conf(或者为/etc/vsftpd/vsftpd.conf)
## vi /etc/vsftpd.conf
#确保以下行未被注释掉,如果没有该行,请添加:
#write_enable=YES //允许上传。如果不需要上传权限,此项可不进行更改。
#ls_recurse_enable=YES
#local_umask=022 //设置用户上传文件的属性为755
#anon_umask=022 //匿名用户上传文件(包括目录)的 umask
#重启网络服务
## /etc/init.d/vsftpd restart
#如果系统使用pure-ftp
#修改/etc/pure-ftpd/pure-ftpd.conf
## vi /etc/pure-ftpd/pure-ftpd.conf
#确保以下行未被注释掉,如果没有该行,请添加:
#umask 177:077
#重启ftp服务
##/etc/init.d/pure-ftpd restart
##检查是否关闭不必要的服务和端口
#检查是否关闭tftp服务
#chkconfig [--level levels] tftp off
#注:levels为运行级别,需要重启机器
#检查是否关闭sendmail服务
#chkconfig [--level levels] sendmail off
#注:levels为运行级别,需要重启机器
#检查是否关闭ypbind服务
#chkconfig [--level levels] ypbind off
#注:levels为运行级别,需要重启机器
#检查是够关闭kshell服务
#hkconfig [--level levels] kshell off
#注:levels为运行级别,需要重启机器
#检查是否关闭lpd服务
#chkconfig [--level levels] lpd off
#注:levels为运行级别,需要重启机器
#检查是否关闭ident服务
#chkconfig [--level levels] ident off
#注:levels为运行级别,需要重启机器
#检查是否关闭time服务
#chkconfig [--level levels] time off
#chkconfig [--level levels] time-udp off
#注:levels为运行级别,需要重启机器
#检查是否关闭ntalk服务
#chkconfig [--level levels] ntalk off
#注:levels为运行级别,需要重启机器
#检查是否关闭bootps服务
#chkconfig [--level levels] bootps off
#注:levels为运行级别,需要重启机器
#检查是否关闭chargen服务
#chkconfig [--level levels] chargen off
#chkconfig [--level levels] chargen-udp off
#注:levels为运行级别,需要重启机器
#检查是否关闭nfs服务
#chkconfig [--level levels] nfs off
#注:levels为运行级别,需要重启机器
#检查是否关闭daytime服务
#chkconfig [--level levels] daytime off
#注:levels为运行级别,需要重启机器
#检查是否关闭printer服务
#chkconfig [--level levels] printer off
#注:levels为运行级别,需要重启机器
#检查是否关闭nfslock服务
#chkconfig [--level levels] nfslock off
#注:levels为运行级别,需要重启机器
#检查是否关闭echo服务
#chkconfig [--level levels] echo off
#chkconfig [--level levels] echo-udp off
#注:levels为运行级别,需要重启机器
#检查是否关闭discard服务
#chkconfig [--level levels] discard off
#chkconfig [--level levels] discard-udp off
#注:levels为运行级别,需要重启机器
#检查是否关闭klogin服务
#chkconfig [--level levels] klogin off
#注:levels为运行级别,需要重启机器
##检查是否限制用户FTP缺省访问权限
#配置方法:
#打开/etc/vsftpd/chroot_list 文件,将需要限制的用户名加入到文件中。
##检查是否删除了潜在危险文件
#1 是否删除.netrc 文件
# 1.执行命令find / -maxdepth 3 -name .netrc 2>/dev/null
# 2.进入到.netrc文件存在的目录
# 3.执行命令:mv .netrc .netrc.bak
#2 是否删除hosts.equiv文件
# 1.执行命令find / -maxdepth 3 -name hosts.equiv 2>/dev/null
# 2.进入到hosts.equiv文件存在的目录
# 3.执行命令:mv hosts.equiv hosts.equiv.bak
#3 是否删除.rhosts 文件
# 1.执行命令find / -maxdepth 3 -name .rhosts 2>/dev/null
# 2.进入到.rhosts文件存在的目录
# 3.执行命令:mv .rhosts .rhosts.bak
##检查是否禁止root用户登录FTP
#1 禁止root登录VSFTP
# 编辑/etc/ftpusers(或/etc/vsftpd/ftpusers)文件
# 添加root
#2 禁止root登录WU-FTP
# 在/etc/ftpusers文件中加入下列行
# root
##检查是否启用SSH协议,禁用telnet协议
#1 应配置ssh协议,并安全配置sshd
# 通过#/etc/init.d/sshd start 来启动 SSH服务
#2 应禁用telnet协议
# 利用命令rpm -qa |grep telnet查看是否安装telnet 和telnet server
# 如果安装的话 编辑/etc/xinetd.d/telnet, 修改 disable = yes。
# 激活xinetd服务。命令如下:
# # service xinetd restart
# 如果没安装则说明禁用telnet服务
##检查是否启用cron行为日志功能
#1 syslog-ng是否启用记录cron行为日志功能
# 在/etc/syslog-ng/syslog-ng.conf中添加
# filter f_cron { facility(cron); };
# destination cron { file("/var/log/cron"); };
# log { source(src); filter(f_cron); destination(cron); };
# 其中/var/log/cron为日志文件。
# 如果该文件不存在,则创建该文件,命令为:
# touch /var/log/cron,并修改权限为775.命令为:chmod 775 /var/log/cron.
#2 rsyslog是否启用记录cron行为日志功能 编辑/etc/rsyslog.conf文件,
# 配置:
# cron.* /var/log/cron ,
# 其中/var/log/cron为日志文件。
# 如果该文件不存在,则创建该文件,命令为:
# touch /var/log/cron,并修改权限为775.命令为:chmod 775 /var/log/cron.
#3 syslog是否启用记录cron行为日志功能 编辑/etc/syslog.conf文件,
# 配置:
# cron.* /var/log/cron ,
# 其中/var/log/cron为日志文件。
# 如果该文件不存在,则创建该文件,命令为:
# touch /var/log/cron,并修改权限为775.命令为:chmod 775 /var/log/cron.
##检查是否禁止匿名用户登录FTP
#1 禁止匿名WU-FTP用户登录
# 在/etc/passwd文件中,删除ftp用户
#2 禁止匿名VSFTP用户登录
# 编辑/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)文件,设置:anonymous_enable=NO
##检查是否启用syslog日志审计
#1.
# Redhat5.x之前(包括5.x):编辑/etc/syslog.conf,
# Redhat 6.x:编辑/etc/rsyslog.conf,
# 配置:
# authpriv.* /var/log/secure
#2.
# 创建/var/log/secure文件
# touch /var/log/secure
#3.
# 重启syslog服务
##检查日志文件是否非全局可写
#检查/var/log/mail文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/mail
#检查/var/log/boot.log是否是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/boot.log
#检查/var/log/secure文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/secure
#检查/var/log/messages文件是否不可被其他用户修改 位比较小于等于 755 执行命令:chmod 755 /var/log/messages
#检查/var/log/cron日志文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/cron
#检查/var/log/spooler文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/spooler
#检查/var/log/maillog文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/maillog
##检查是否限制用户su到root
#sed -i "/^auth/i auth sufficient pam_rootok.so" /etc/pam.d/su
#sed -i "/^auth/i auth required pam_wheel.so group=wheel" /etc/pam.d/su
##检查是否按用户分配账号
#为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
#修改权限:
#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
#使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
##是否删除与设备运行、维护等工作无关的账号
#删除用户:#userdel username;
#锁定用户:
#usermod -L username
#只有具备超级用户权限的使用者方可使用.
#usermod –U username可以解锁。
#补充操作说明
#需要锁定的用户:
#listen,gdm,webservd,nobody,nobody4,noaccess。
##检查是否按组进行账号管理
#1.执行备份:
#cp -p /etc/group /etc/group.bak
#2.创建新的用户组
#groupadd 组名
#usermod -g 组名 -d 用户目录 -m 用户名
#把用户添加进入某个组(s)或参考usermod --help说明进行设置
#######################################################################
###########################NGINX 配置规范###############################
######################################################################
##检查是否启用日志功能---记录错误日志
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf),去掉error_log前面的"#"号
##检查是否启用日志功能---记录访问日志
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf),设置access_log,去掉前面的注释,修改配置文件如下:
#log_format formatname '$remote_addr - $remote_user [$time_local] '
#' "$request" $status $body_bytes_sent "$http_referer" '
#' "$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log formantname;
#formatname是设置配置文件格式的名称
##检查是否限制IP访问
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)
#具体设置举例如下:
#location / {
#deny 192.168.1.1; #拒绝IP
#allow 192.168.1.0/24; #允许IP
#allow 10.1.1.0/16; #允许IP
#deny all; #拒绝其他所有IP
#}
#根据应用场景,设置合适的IP地址
##检查是否隐藏nginx服务信息头
#配置在http中
server_tokens off;
server_tag off;
server_info off;
##检查是否自定义错误信息
#修改nginx_install_dir/conf/nginx.conf文件
#在每个站点server里添加自定义错误页面,例如:
#error_page 404 /404.html;
#404.html为具体的自定义错误页面,需要纺织在站点的根目录下,一版是nginx_install_dir/html/目录下
#
#配置完毕后采用nginx_install_dir/sbin/nginx -t测试配置文件是否正确。
#之后平滑重启nginx
#nginx_install_dir/sbin/nginx -s reload
##检查是否控制超时时间---客户端保持活动的超时时间
#http
#keepalive_timeout 120;
#重新启动nginx服务
#需要根据应用场景的需要选择合适的参数值
##检查是否控制超时时间---客户端请求读取超时时间
#http
#client_header_timeout 10; #设置客户端请求头读取超时时间
#重新启动nginx服务
#需要根据应用场景的需要选择合适的参数值
##检查是否限制客户端下载的并发连接数
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)
#具体设置如下:
#例如网站存放路径为/usr/local/nsfocus/ ,服务器名称为:down.nsfocus.com
#http {
#……
#limit_zone one $binary_remote_addr 10m;
##针对每个IP定义一个存储session状态的容器,10m的容器按照32bytes/session,可以处理320000个session
#server
#{
#listen 80
#server_name down.nsfocus.com;
#index index.html index.htm index.php;
#root /usr/local/nsfocus;
##Zone limit;
#location / {
#limit_conn one 1; #限制每个ip只能发起一个并发连接
#limit_rate 20k; #限制每个连接的限制速度为20K,IP的下载速度为连接数*限制速度
#}
#………
#}
#重启nginx服务
#根据应用场景的需要进行并发数、速度限制
#注:
#limit_zone 这个变量只能在http中使用
#limit_coon和limit_rate变量可以在http,server,location中使用
##检查是否控制超时时间---响应客户端的超时时间
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)
#具体设置如下:
#send_timeout 10; #指定响应客户端的超时时间
#重新启动nginx服务
#需要根据应用场景的需要选择合适的参数值
##检查是否配置防盗链接设置
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)
#具体设置举例如下:
#location ~* ^.+.(gif|jpg|png|swf|flv|rar|zip)$ {
#valid_referers none blocked www.baidu.com;
#if ($invalid_referer) {
#rewrite ^/ [img]http://www.nsfocus.com/images/default/logo.gif[/img];
## return 403;
#}
#}
#根据应用场景,设置合适的域名
#重新启动nginx服务
#注:
#1.gif|jpg|png|swf|flv|rar|zip
#表示对gif、jpg、png、swf、flv后缀的文件实行防盗链
#2.www.baidu.com
#表示对www.baidu.com这个来路进行判断
#3.if{}里面内容的意思是,如果来路不是指定来路就跳转到错误页面,当然直接返回404也是可以的
##检查是否限制客户端的下载速度
#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)
#具体设置如下:
#例如网站存放路径为/usr/local/nsfocus/ ,服务器名称为:down.nsfocus.com
#http {
#……
#limit_zone one $binary_remote_addr 10m;
##针对每个IP定义一个存储session状态的容器,10m的容器按照32bytes/session,可以处理320000个session
#server
#{
#listen 80
#server_name down.nsfocus.com;
#index index.html index.htm index.php;
#root /usr/local/nsfocus;
##Zone limit;
#location / {
#limit_conn one 1; #限制每个ip只能发起一个并发连接
#limit_rate 20k; #限制每个连接的限制速度为20K,IP的下载速度为连接数*限制速度
#}
#………
#}
#重启nginx服务
#根据应用场景的需要进行并发数、速度限制
#注:
#limit_zone 这个变量只能在http中使用
#limit_coon和limit_rate变量可以在http,server,location中使用