Linux系統基線檢查

1

查詢系統信息

1. Linux 查看內核版本（大于2.6）（I級）

uname -acat /proc/version

2. Linux 查看系統版本

lsb_release -acat /etc/issue

2

身份鑒別

1. 系統是否存在重復的 UID（II級）

UID(UserID)——用戶標識號，它與用戶名唯一對應，Linux 以 UID 作為用戶的唯一標識，Linux中超級用戶 root 的 UID 為 0，可以直接使用 id 命令查看當前用戶的 UID。可以查看 passwd 文件以查看所有用戶的 UID 等基本信息：

vim /etc/passwd

3

密碼審查

密碼的生命周期最大為 90 天（III級）

密碼可以被立即修改（III級）

密碼的最小長度為 8 位（III級）

密碼到期的提醒，一般建議 7 天（III級）

查看并修改 login.defs 文件：

vim /etc/login.defs

檢查并修改如下內容：

PASS_MAX_DAYS 90 #一個密碼可使用的最大天數PASS_MIN_DAYS 0 #兩次密碼修改之間最小的間隔天數PASS_MIN_LEN 8 #密碼最小長度PASS_WARN_AGE 7 #密碼過期前給出警告的天數

4

訪問控制

1. 系統已設定了正確的 umask 值 022 (III級）

umask 用于指定目前用戶在建立文件或目錄時的權限默認值，umask 設置的是權限值的“補碼”，而我們常用的chmod設置的是文件權限碼,默認情況下的 umask 值是022(可以用umask命令查看），此時你建立的文件默認權限是644(6-0,6-2,6-2)，建立的目錄的默認權限是755(7-0,7-2,7-2)。

2. 鎖定系統中不必要的用戶（IV級）

使用 passwd 命令鎖定、解鎖和檢查 Linux 中用戶賬戶的狀

passwd -l username #鎖定用戶賬戶passwd -u username #解鎖用戶賬戶passwd -S username #檢查用戶賬戶鎖定狀態

使用 usermod 命令鎖定、解鎖和檢查 Linux 中用戶賬戶的狀態：

usermod --lock username #鎖定用戶賬戶usermod -L username #鎖定用戶賬戶usermod -unlock username #解鎖用戶賬戶usermod -U username #解鎖用戶賬戶

可以通過查看 /etc/shadow 文件來檢查用戶鎖定狀態，如果用戶賬戶被鎖定，密碼前面將添加感嘆號。

3. 刪除不必要的系統用戶組（IV級）

groupdel groupname

這個命令將會從 /etc/group 和 /etc/gshadow 文件中移除用戶組條目，且成功時不會打印任何輸出。可以通過使用下面的命令來驗證用戶組是否被移除：

getent group

4. 禁止 root 用戶遠程登錄（II級）

通過修改 /etc/ssh/sshd_congig 文件，將其中的 PermitRootLogin 改成 no，然后重新啟動 ssh 服務就可以了：

systemctl restart sshd.service

5. 系統重要文件訪問權限是否為 644 或 600（II級）

5

安全審計

1. 系統是否啟用安全審計（III級)

Linux audit 子系統是一個用于收集記錄系統、內核、用戶進程發生的行為事件的一種安全審計系統，該系統可以可靠的收集有關的任何與安全相關（或與安全無關）事件的信息，它可以幫助跟蹤系統上執行過的一些操作。

auditctl -s #查看系統是否啟用 audit，enabled 值為 1 表示開啟systemctl start auditd #啟動 auditd 服務

開啟了 auditd 服務后，所有的審計日志會被記錄在 /var/log/audit/audit.log 文件中，該文件記錄格式是每行以 type 開頭。

2. 是否啟用審計策略（III級）

一般針對系統的目錄、退出、創建/刪除目錄、修改密碼、添加組、計劃任務等。audit 可以自定義對指定的文件或命令進行審計（如監視 rm 命令被執行、/etc/passwd 文件內容被改變），只要配置號對應規則即可，配置規則可以通過命令行（臨時生效）或編輯配置文件（永久生效）兩種方式實現。auditd 的配置文件為 /etc/audit/audit 下的 auditd.conf 和 audit.rules, auditd.conf 主要定義了 auditd 服務日志的性能等相關配置，audit.rules 才是定義規則的文件。

6

剩余價值保護

1. 系統的命令行數是否保存為 30 條（IV級）

echo $HISTSIZE #查看歷史命令保存條數

修改歷史命令保存條數，修改 /etc/profile 中的 HISTSIZE 變量即可。

7

不必要服務啟動項

1. chargen/chargen-udp、daytime/daytime-udp、echo/echo-udp、time/time-udp 等服務已被禁用（III級）

chargen 服務：最初設計用于測試網絡狀態，監聽19端口（包括TCP和UDP），其中UDP協議存在“Chargen UDP服務遠程拒絕服務攻擊漏洞”。chargen一般不會使用，所以直接將該服務關閉即可。

daytime 服務：使用TCP 協議的 Daytime 守護進程，該協議為客戶機實現從遠程服務器獲取日期和時間的功能。

daytime-udp 服務：使用 UDP 協議的 Daytime 守護進程。

echo 服務：使用 TCP 協議的服務器回顯客戶數據服務守護進程；

echo-udp 服務：使用 UDP 協議的服務器回顯客戶數據服務守護進程。

time 服務：采用 TCP 協議的從遠程主機獲取時間和日期的守護進程；

time-udp 服務：采用 UDP 協議的從遠程主機火氣時間和日期的守護進程。

2. cpus-lpd 服務已被禁用（III級）

cups 服務：通用 UNIX 打印守護進程，為Linux提供第三代打印功能；

cups-lpd 服務：cups 行打印守護進程。

3. finger 服務已被禁用（III級）

finger 服務：finger 服務器提供一項查詢本地或遠程主機用戶公開信息的服務。

4. rexec 服務已被禁用（III級）

rexec 服務：允許網絡用戶遠程執行命令。由于rexecd并沒有提供好的認證方式，認證體系相當簡單而易受攻擊，因此它可能被攻擊者用來掃描第三方的主機，攻擊者可以通過該服務遠程暴力窮舉猜測用戶名、口令，也可以監聽其它授權用戶的通信過程以獲取口令明文，可以使用nmap 等工具進行掃描檢測。

5. rlogin 服務已被禁用（III級）

rlogin 服務：遠程登陸服務，通過 rlogin 命令，可以登錄到遠程系統。rlogin服務的認證體系相當簡單而易受攻擊，攻擊者可以通過該服務遠程暴力窮舉猜測用戶名、口令，也可以監聽其它授權用戶的通信過程以獲取口令明文。

6. rsh 服務已被禁用（III級）

rsh 服務：遠程 shell 服務，通過 rsh 命令，可以在指定的遠程主機上啟動一個 shell 并執行用戶在 rsh 命令行中指定的命令，如果用戶沒有給出要執行的命令，rsh就用 rlogin 命令使用戶登錄到遠程機上。

7. rsync 服務已被禁用（II級）

rsync 服務：遠程數據同步服務，通過 rsync 命令，可以通過LAN/WAN快速同步多臺主機間的文件。rsync使用所謂的“rsync算法”來使本地和遠程兩個主機之間的文件達到同步，這個算法只傳送兩個文件的不同部分，而不是每次都整份傳送，因此速度相當快。

8. ntalk 服務已被禁用（III級）

ntalk 服務：網絡交談（ntalk），遠程對話服務和客戶。

9. talk 服務已被禁用（III級）

talk 服務：遠程對話服務和客戶。

10. wu-ftpd 服務已被禁用（II級）

Wu-ftpd 服務：Internet上最流行的FTP守護程序。Wu-ftpd功能十分強大，可以構建多種類型FTP服務器。Wu-ftpd菜單可以幫助用戶輕松地實現對FTP服務器的配置：支持構造安全方式的匿名FTP的訪問，可以控制同時訪問的用戶的數量，限制可以允許訪問的IP網段，并可以在一臺主機上設置多個虛擬目錄。

11. tftp 服務已被禁用（III級）

tftp 服務：TCP/IP協議族中的一個用來在客戶機與服務器之間進行簡單文件傳輸的協議，提供不復雜、開銷不大的文件傳輸服務。基于 UDP 協議實現，端口號為69。

12. ipop2 服務已被禁用（III級）

ipop2 服務：POP2 郵件服務器。

13. ipop3 服務已被禁用（III級）

ipop3 服務：POP3 郵件服務器。

14. telnet 服務已被禁用（III級）

telnet 服務：Internet 遠程登錄服務。

15. xinetd 服務已被禁用（IV級）

xinted 服務：新一代的網絡守護進程服務程序，又叫超級Internet服務器，常用來管理多種輕量級Internet服務。

8

其它配置檢查

1. 系統已經加固了 TCP/IP 協議棧（IV級）

檢查/etc/sysctl.conf是否存在以下內容：

net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1net.ipv4.conf.accept_source_route=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.secure_redirects=0net.ipv4.conf.default.accept_source_route=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=0

2. 系統禁用 X-Windows 系統（III級）

3. 移動介質使用 nosuid 掛載（IV級）

檢查與 /etc/fstab 文件夾、/dev/floppy 和 /dev/cdrom 相關的條目

4. /tmp 和 /var/tmp 目錄具有粘滯位(II級)

ls -al/ | grep tmp

5. root PATH 環境變量，不包含當前目錄（II級）

echo $PATH