Centos7等保三级检查命令
电热画原创运维菜鸟2021-04-15 18:20:10
⼀、操作系统
查看该⽂件的权限
ls -la /var/log/audit/audit.log
ls -l /etc/passwd
弹簧制作ls -l /etc/hosts
ls -l /etc/login.defs
ls -l /etc/hosts.allow
ls -l /etc/shadow
ls -l /etc/hosts.deny
ls -l /etc/group
ls -l /etc/services
⽂件中⽇志信息所在⽂件的访问权限
二次包络ls -l /var/log/messages
ls -l /var/log/secure
ls -l /var/log/audit/audit.log
find / -name ".rhosts" 查看rhost⽂件
pwck -r /etc/passwd 查看⽂件的完整性,结果在结尾显⽰是否改变
地热电缆
pwck -r /etc/shadow 查看⽂件的完整性,结果在结尾显⽰是否改变
2、查看系统版本
more /proc/version 查看系统版本号
rpm -qa| grep patch 查看已安装系统补丁
more /etc/issue 或者
铅球场地more /etc/redhat-release 查看当前系统版本
3、服务相关
yum list installed 查看操作系统中已安装的程序包
systemctl list-unit-files 查看开机⾃启项
systemctl list-units |grep running centos系统查看运⾏的服务)
service --status-all 查看所运⾏中服务情况(否已经关闭危险的⽹络服务如echo、shell、
login、finger、命令等。关闭⾮必需的⽹络服务如talk、ntalk、p lsof -i:21、lsof -i:22、lsof -i:23 查看端⼝开启情况
more /etc/services|grep telnet 查看是否启⽤对应的telnet端⼝服务
rpm -aq|grep ssh 查看是否安装了SSH相应的包
ps -e | grep ssh 查看ssh是否启动
netstat -an -t 核查是否不存在⾮必要的⾼危端⼝
more /etc/ssh/sshd_config 访问ssh配置⽂件
3、审计相关
systemctl status rsyslog 检查⽇志运⾏
service auditd status (service rsyslog status ) 查看审计功能是否正常运⾏
more /var/log/audit/audit.log 审计⽇志存放位置
auditctl -l 查看audit规则
auditctl -s 查看audit运⾏状态;
more /var/log/messages 系统⽇志信息存放在此⽂件
more /var/log/audit/audit.log 查看审计具体记录内容
more /etc/audit/audit.rules 查看审计规则
more /f 审计配置内容
more /etc/f 审计配置内容
more /f 配置⽂件⾥设置了⽇志服务器
authconfig --test | grep hashing 查看加密
more /etc/f 重点检查num_logs(最⼤能⽣成⼏个审计⽂件),max_log_file(单个审计⽂件最⼤容量多少兆),
max_log_file_action(⽇志容量达到最⼤后的操作),disk_full_action,disk_erro_action 等字段。
4、密码复杂度
chage -l root Root密码复杂度
cat /etc/login.defs|grep PASS 查看当前所设置的密码长度及更换周期
more /etc/pam.d/system-auth 确认密码复杂度要求及针对终端直接登录,如:登录失败等
more /etc/pam.d/sshd 只针对SSH远程登录也可设置登录失败次数
more /f (cat /etc/sudoers|grep =\(ALL\))核查root级⽤户的权限都授予哪些账户
more /etc/passwd |awk -F: '{print $1,$2}' ⽤户中的第⼆个字段(⼝令)不为空,为x表⽰设置了密码。
more /etc/shadow 第⼆个字段为⼝令加密字段。(第⼀位:账号、第⼆位:加密加密、第三位:上次修改密码的时间、第四位:两次修改⼝令之第七位:账号失效⽇期、第⼋位:账号取消⽇期。其中在密码栏的第⼀个字星号代表帐号被锁定、双叹号表⽰这个密码已经过期了,失效⽇期是从1970年1⽉1⽇开始的
5、⼊侵检测
find / -namie <daemonname> -print 检查是否安装了主机⼊侵检测软件
more /var/log/secure | grep refused 查看⼊侵检测的措施
more /etc/hosts.deny (⿊名单)对终端接⼊范围进⾏限制
more /etc/hosts.allow (⽩名单)或more /etc/ssh/sshd_config指定终端地址可访问
crontab -l 核查⼊侵和病毒⾏规则
more /etc/profile 查看有⽆tmout连接超时
more /etc/profile 清除敏感数据所在的存储空间
more /etc/f 是否对资源进⾏了限定
⼆、mysql数据库
1、检查
mysql -u root -p 进⼊数据库
SELECT * FROM mysql.user; 查看设置的⽤户
SELECT Host,User,plugin FROM mysql.user;
SELECT Host,User,Password,plugin FROM mysql.user; 检查是否存在空⼝令⽤户(MySQL5.6及以下)
SELECT Host,User,authentication_string,plugin FROM mysql.user; 检查是否存在空⼝令⽤户(MySQL5.7及以上)
SHOW VARIABLES LIKE'validate_password%'; 检查⼝令复杂度(MySQL5.6及以下)
纳米硬盘
SELECT Host,User,password_lifetime FROM mysql.user; 检查⼝令定期更换(MySQL5.7及以上)
SELECT * FROM information_schema.PLUGINS WHERE PLUGIN_NAME='connection_control' ; 检查是否安装登录失败处理模块(MySQL5.6及以下)SHOW variables LIKE 'connection_control%'; 检查是否配置登录失败处理参数;(MySQL5.6及以下)
SHOW variables LIKE '%timeout'; 检查连接超时
SHOW variables LIKE 'general_log%'; 检查数据库⽇志模块状态
SELECT * FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME='audit_log'; 检查是否安装并开启MySQL Enterprise Audit模块SHOW variables LIKE'require_secure_transport'; 检查是否开启SSL通信
收藏
举报
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议