给大家推荐一款 Linux 服务器等保加固脚本/检测脚本。
网络安全等级保护制度是我国网络安全的基本制度,旨在提高信息系统的安全防护能力,保障信息安全。Linux服务器作为众多信息系统的重要组成部分,其安全性直接关系到整个系统的稳定运行和数据安全。因此,对Linux服务器进行等保工作具有重要意义。
Linux 服务器等保(等级保护)是指按照国家的网络安全等级保护制度,对Linux 服务器进行安全保护的一种措施。
Linux 服务器的等保级别通常根据系统的重要性、涉及的数据敏感度等因素进行划分。等保三级是较为常见的级别,其要求包括但不限于以下几个方面:
身份鉴别:
-
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 -
应具有登录失败处理功能,如限制非法登录次数、登录连接超时自动退出等。 -
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 -
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。
访问控制:
-
应对登录的用户分配账户和权限,确保用户只能访问其权限范围内的资源。 -
应重命名或删除默认账户,并修改默认账户的默认口令。 -
应及时删除或停用多余的、过期的账户,避免共享账户的存在。 -
应授予管理用户所需的最小权限,实现管理用户的权限分离。
安全审计:
-
应启用安全审计功能,对重要的用户行为和重要安全事件进行审计。 -
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功等信息。 -
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
入侵防范:
-
应遵循最小安装的原则,仅安装需要的组件和应用程序。 -
应关闭不需要的系统服务、默认共享和高危端口。 -
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 -
应能发现可能存在的已知漏洞,并及时修补漏洞。
恶意代码防范:
-
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制,及时识别并阻断入侵和病毒行为。
数据完整性与保密性:
-
应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性。 -
应采用密码技术保证重要数据在传输和存储过程中的保密性。
等保实施步骤
-
系统定级:根据系统的重要性、涉及的数据敏感度等因素,确定系统的安全保护等级。 -
系统备案:将系统的定级结果报相关主管部门进行备案。 -
系统建设:按照等保要求,对系统进行安全建设,包括身份鉴别、访问控制、安全审计等方面的配置。 -
系统测评:邀请第三方测评机构对系统进行测评,验证系统是否符合等保要求。 -
整改加固:根据测评结果,对系统进行整改加固,消除安全隐患。 -
定期复查:定期对系统进行复查,确保系统持续符合等保要求。
这脚本程序是我在一位的开源xiaoyunjie老哥写的脚本加固基础上新增了两个加固脚本,设置密码长度和定期更换要求、建议操作系统对审计记录进行保护,通过日志服务器对审计记录进行定期存档备份
他的加固脚本github项目地址:https://github.com/xiaoyunjie/Shell_Script
Check_Script
操作说明
# 执行 CentOS-Check_Script.sh 脚本文件进行检查,命令格式如下sudo sh CentOS_Check_Script.sh | tee check_`date +%Y%m%d_%H%M%S`.txt
执行完CentOS_Check_Script.sh
会在当前目录下生成以当前时间单位命名的txt检查结果文件(check_2023.xxxxx_xxxx.txt
)。
这个检查脚本好像对Ubuntu系统没啥作用,因为Ubuntu系统有些配置文件和检测脚本的文件不一样或者不存在。
检查说明 此脚本是按三级等保要求,编写的一键检查脚本,此脚本只适合linux分支中的redhat、centos,运行脚本将结果输出到自定义的文件中,脚本结果需要人为检查。
此检查脚本包含以下几块内容:
-
系统基本信息 -
资源使用情况 -
系统用户情况 -
身份鉴别安全 -
访问控制安全 -
安全审计 -
剩余信息保护 -
入侵防范安全 -
恶意代码防范 -
资源控制安全
Protective_Script
CentOS_Protective_Script.sh
执行完脚本任意编号功能,该脚本在执行加固前会自动备份服务器需要修改安全加固的相关配置文件,并且在当前脚本目录下生成backup文件夹(备份的文件都存储在backup文件夹下,如需恢复原本服务器相关配置文件请执行8号程序 还原配置文件)
操作说明
#执行CentOS_Protective_Script.sh脚本文件进行加固,命令格式如下sudo sh CentOS_Protective_Script.sh#执行完成后,请按脚本提示重启相应服务#如果是Ubuntu系统,可能会出现类似Syntax error: "(" unexpected的错误,一般这种是因为sh与bash有些地方不兼容,解决方式:使用bash命令来启动脚本。sudo bash CentOS_Protective_Script.sh
功能说明
-
一键进行全部加固 -
设置密码复杂度 -
添加openroot账号(一键加固未调用该函数, 如有需求自行在main函数中调用) -
禁止root远程登入(一键加固未调用该函数, 如有需求自行在main函数中调用) -
设置history保存行数以及命令时间,设置窗口超时时间 -
更改SSH端口(一键加固未调用该函数, 如有需求自行在main函数中调用) -
登入失败处理 -
还原配置文件(一键加固未调用该函数, 如有需求自行在main函数中调用) -
设置密码长度和定期更换要求 -
建议操作系统对审计记录进行保护,通过日志服务器对审计记录进行定期存档备份 -
退出程序
项目地址:
https://github.com/NatChao/check_script
原文始发于微信公众号(Docker中文社区):给大家推荐一款 Linux 服务器等保加固脚本/检测脚本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论