PASS_MIN_DAYS 参数设置为7-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查...| 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 加固建议 编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass...如: minlen=10 minclass=3 操作时建议做好记录或备份 检查密码重用是否受限制 | 身份鉴别 描述 强制用户不重用最近使用的密码,降低密码猜测攻击风险 加固建议 在/etc/pam.d...操作时建议做好记录或备份 检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l 锁定用户 操作时建议做好记录或备份
最近在做系统安全基线检查相关的,网上找了一些脚本以及群友分享的。整理下分享给大家: 首先是Linux的shell加固脚本 #!...etc/rc.d/init.d/ chmod 600 /etc/grub.conf chmod 600 /boot/grub/grub.conf chmod 600 /etc/lilo.conf #检查用户.../net/ipv4/icmp_echo_ignore_all #防syn攻击优化,提高未连接队列大小 sysctl -w net.ipv4.tcp_max_syn_backlog="2048" #检查拥有...firewall show rule name=all dir=out type=dynamic status=enabled >>%~dp0\JianCha@1.txt pause 最后在分享两个表格: Linux...安全检查 Windows安全检查
定期的来检查电脑的安全系统,以及一些其他的系统安全问题,可以有效的预防电脑漏洞的出现以及安全隐患的出现。现在来了解一下linux主机安全基线检查脚本怎么做?...linux主机安全基线检查脚本 linux主机安全基线检查脚本是Linux主机安全维护当中重要的一环。通过主机安全基线检查脚本可以有效的防止和提前发现一些主机问题。...安全基线检查脚本里面包含多项内容,所以在进行安全检查的时候,应当对每一项细致的内容都进行安全检查。这个可以从网上搜索一些教程来自己检查,也可以让专业的it服务人员来帮助电脑进行系统检查。...安全基线的检查内容 上面已经提到linux主机安全基线检查脚本是非常重要的一件事情,那么在安全基线的检查当中,都有哪些内容需要检查呢?首先是要进行共享账号的检查。还有多余账户锁定策略检查。...除此之外,安全基线的检查内容还有好多,在进行专业的脚本检查时,应当全部检查毫无遗漏。并且定期进行检查,防止其他的漏洞出现。 以上就是linux主机安全基线检查脚本怎么做的相关内容。
PASS_MIN_DAYS 参数设置为7-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查...| 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 加固建议 1、安装PAM的cracklib模块,执行命令: apt-get update&&apt-get install libpam-cracklib...success=1 default=ignore] pam_unix.so开头的这一行增加配置minlen(密码最小长度)设置为9-32位,建议为9,即在行末尾加上参数minlen=9 操作时建议做好记录或备份 检查密码重用是否受限制...success=1 default=ignore] pam_unix.so开头的这一行增加配置remember设置为5-24之间,建议为5,即在行末尾加上参数remember=5 操作时建议做好记录或备份 检查系统空密码账户...| 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l 锁定用户 操作时建议做好记录或备份 确保SSH MaxAuthTries
MongoDB 基线检查项 账号权限基线检查 run_power_test 启动 MongoDB 的系统账号 是否单独创建 且 不允许登陆 是否开启账号权限功能 MongoDB 高级权限账号是否是必须...网络连接基线检查 run_network_test 默认端口是否修改 MongoDB进程是否监听在外网IP 网络连接方式 是否为 SSL加密方式 文件安全基线检查 run_file_test...敏感的日志,查询 文件 慢查询日志文件 运行日志 数据库配置基线检查 run_config_test 是否需要开启服务器端脚本
下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server; 操作时建议做好记录或备份 检查是否配置...4、 修改配置文件中的nginx启动用户修改为nginx或nobody 如: user nobody; 如果您是docker用户,可忽略该项(或添加白名单) 操作时建议做好记录或备份 检查Nginx进程启动账号
MySQL 基线检查项 参考链接: https://github.com/wstart/DB_BaseLine 账号权限基线检查 run_power_test 启动 MySQL 的系统账号 是否单独创建...创建用户权限 Grant_priv 赋权权限 reload_priv 重载权限 repl_slave_priv 主从数据库权限 密码为空的账号是否存在 不受IP限制的账号可登录 空用户的账号 网络连接基线检查...run_network_test 默认端口 是否修改 网络连接方式 是否为 SSL 文件安全基线检查 run_file_test 数据库文件路径 show variables where variable_name...= 'datadir' 检查MYSQL命令执行历史记录 ~/.mysql_history 敏感的日志,查询,错误,审计文件 log_bin_basename log_error slow_query_log_file...general_log_file audit_log_file relay_log_basename 数据库配置基线检查 run_config_test 错误日志是否开启 SHOW variables
描述 使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。redis crackit 漏洞就是...
控制台弱密码检查 | 身份鉴别 描述 tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。
0x01 介绍 最近在做安全基线检查相关的,网上有一些代码比较零散;也有一些比较完整的项目,比如owasp中的安全基线检查项目,但是收费;还有一些开源且完整的,比如lynis,但是不符合我的要求。...我的要求如下: 能够对操作系统、中间件和数据库进行基线检查 脚本在系统上进行基线检查后的结果或者收集到的数据能够传输到一个服务端 服务端要做可视化展示 最终的效果是什么呢?...客户端基线搜集与检查代码在SecurityBaselineCheck现在完成了Centos和Windows2012基线检查的编写,脚本(简称agent)只在要检查的服务器上运行并显示检查结果。...对于Linux: ? 3. 将Agent拖到要进行基线检查的服务器上,以管理员权限运行agent 4....这个项目目前可以针对Linux和Windows的部分操作系统进行基线检查,不适用于全部系统。
首先,你需要检查单个的数据包以确定其包含有哪些二进制文件。然后你需要限制这些二进制文件的权限。
搞技术的礼物当然是技术礼物啦,这是我们实验室一位师傅改进的linux主机安全基线检查脚本(如果想薅羊毛的兄弟等实验室基本稳定了,Gamma安全实验室会自动把羊毛奉上) 脚本复制粘贴保存成.sh文件即可...,报错的请apt,yum下载相应的工具嗷,这就不多说了,我把礼物塞进袜子里咯!.../bin/bash ###################################### # Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod...export LANG="$default_LANG" } bk_safe(){ echo "" echo -e "\033[33m********************************Linux...主机安全基线检查***********************************\033[0m" echo "" >> ${scanner_log} echo "*************
脚本复制粘贴保存成.sh文件即可,报错的请apt,yum下载相应的工具嗷 #!.../bin/bash ###################################### # Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod...export LANG="$default_LANG" } bk_safe(){ echo "" echo -e "\033[33m********************************Linux...主机安全基线检查***********************************\033[0m" echo "" >> ${scanner_log} echo "*************...**********`hostname -s` 主机安全检查结果********************************" >> ${scanner_log} getSystemStatus
前几周斗哥分享了基线检查获取数据的脚本,但是在面对上百台的服务器,每台服务器上都跑一遍脚本那工作量可想而知,而且都是重复性的操作,于是斗哥思考能不能找到一种方法来实现自动下发脚本,批量执行,并且能取回执行的结果...话不多说,斗哥决定先给大家演示一下ansible如何实现基线检查脚本的自动下发,批量执行和结果取回,然后再进一步学习这款工具的安装和使用,以及后期的自动化思路。...效果演示 环境说明: 主控端:192.168.159.55 节点:192.168.159.92、192.168.159.94 确保主控端和节点的连通性,主控端/tmp目录下已创建好需执行的基线检查脚本....sh为创建在主控端的基线检查脚本: 脚本执行结束即可在本地的/tmp/check目录下查看到节点的执行结果: 上述的过程,在面对众服务器节点的时候可以省去很多工作量,是不是感觉一下清爽了许多。...1.基础环境和条件 ●基线检查脚本(漏斗公总号回复基线自动化运维可得,当然斗哥手上还有其他操作系统的、中间件、数据库等众多基线脚本,不同的节点运行的脚本的组合不同,这个也需做好分类) ●安装好ansible
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。...适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。.../etc/login.defs 文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。...设置日志审计检查: 首先需要安装syslog或者rsyslog或者syslog-ng三个服务中的一个,然后需要保证创建了/var/log/cron、/var/adm/messages文件。...检查修改suid和sgid权限文件: ? 加固脚本: ?
安全基线检查涉及操作系统、中间件、数据库、甚至是交换机等网络基础设备的检查,面对如此繁多的检查项,自动化的脚本可以帮助我们快速地完成基线检查的任务。...一般来说基线检查基本上需要root权限,并且网上大部分的基线加固脚本都是脚本直接对系统进行操作,但是即使基线检查之前做了充分的备份和保存快照等,一旦有不可逆的操作导致生产系统的中断造成的影响是巨大的。...因此斗哥设计通过shell脚本以基线配置标准为检查项去获取当前系统基线配置的整体情况,然后再对比基线标准数据库,根据得出对比结果分析评估是否修正基线,再着手进行基线修正,完成基线修正配置后,再进行基线核查...另外斗哥还搜到一款开源的linux的基线脚本检查的工具lynis:https://github.com/CISOfy/lynis/ 感觉非常的强大,有兴趣的小伙伴可以去深入研究哟。...ps :在公众号对话框中,回复基线自动化运维可获取Centos7_v1.0.sh基线检查处女版。
csh.login_bak 编辑csh.login文件 注释掉原有umask值或循环函数 在文件末尾添加umask值为027 umask 027 umask 介绍 ---- 一、umask介绍 在linux...13、检查密码长度及复杂度 以下四个参数中至少存在三个且值小于等于-1视为合规 dcredit、credit、ucredit、ocredit 查看命令: cat /etc/pam.d/system-auth...(针对K8S集群宿主机基线)kube-proxy的实现方式是使用iptables机制,服务之间的调用走service的负载均衡。...对于容器场景,此检查项不适用 ---- 支持配置sshd服务端未认证连接最大并发量:10 整改建议 样例: 备份sshd_config文件 cp /etc/ssh/sshd_config /etc/...1/MEDIUM:检查长度、数字、大小写、特殊字符 2/STRONG:检查长度、数字、大小写、特殊字符字典文件 限制密码中大小写字符最小个数 validate_password.mixed_case_count
python哪儿都好,但是缩进太多,嵌套过多容易产生难以检查的语法错误,所以我们需要一款静态检查软件 这里引入一个静态检查利器: flake8. flake8介绍 它是以下三工具的包装: PyFlakes...Pep8: 代码风格检查 Ned Batchelder’s McCabe script: 代码复杂度检查 三大功能: python代码风格检查,使工程项目满足良好的代码风格,容易发现问题。...一些基本的代码检查。..., 检查成功后才能提交....install-hook - git config flake8.strict true flake8 git集成的原理: 埋入git hooks. (.git/hooks/pre-commit) 其它工具
——村上春树 关于 BCC 是什么这里不多介绍,小伙伴可以看我之前的文章:Linux 可观测性 BPF&eBPF 以及 BCC&bpftrace 认知 BCC工具检查清单 下面的内容 位于BCC仓库的docs...它提供了个通用的使用 BCC 工具的检查清单: https://github.com/iovisor/bcc/blob/master/docs/tutorial.md execsnoop execsnoop...,可使用execsnoop(8)来检查 opensnoop opensnoop(8) 在每次open(2)(文件打开)系统调用(及其变体)时打印一行输出,包括详细信息。...这允许你磁盘 I/O进行更细致的检查,并搜寻时序模式(比如,写动作之后的读排队)。...本工具可以定位超出预期的CPU等待时间,就原因来说它可能是CPU饱和、配置错误或者是调度问题引起的。
Golint(1)安装golintgit clone https://github.com/golang/lint.git cd lint/golintgo install(2)使用方式# 检查单个文件...golint service.go # 检查当前目录所有.go文件,不会递归查找golint(3)golint校验规则不能使用下划线命名法,使用驼峰命名法外部可见程序结构体、变量、函数都需要注释通用名词要求大写...fmt.Errorf(…)receiver名称不能为this或selfreceiver名称不能为this或self错误变量命名需以 Err/err 开头a+=1应该改成a++,a-=1应该改成a--(4)检查的结果示例如下...var appId should be appIDservice.go:806:13: var behaviorGameIdList should be behaviorGameIDListIDE集成工具参考...,-v参数可以看到更详细的检查结果# golangci-lint run -v service/service.goINFO [config_reader] Config search paths: [
领取专属 10元无门槛券
手把手带您无忧上云