等保待优化处理集合
身份鉴别
以root身份登录LINUX,查看/etc/passwd和/etc/shadow,检查是否有密码为空的用户。访谈是否采用堡垒机登录等。
cat /etc/passwd
cat /etc/shadow
查看/etc/login.defs中PASS_MAX_DAYS(密码最长过期天数)、 (密码最小过期天数)、PASS_MIN_LEN(密码最小长度)、PASS_WARN_AGE(密码过期警告天数)
cat /etc/login.defs
PASS_MAX_DAYS 9999
PASS_MIN_DAYS 7
PASS_MIN_LEN 8
PASS_WARN_AGE 7
应启用登录失败处理功能(/etc/pam.d/login | grep deny)
以root身份登录进入Linux,查看文件内容:#cat /etc/pam.d/system-auth 该文件中是否存在"account required /lib/security/pam_tally.so deny=5 no_magic_root reset这一行(这个文件没有)
cat /etc/pam.d/system-auth
查看是否运行sshd服务:service --status-all|grep sshd,
查看是否使用Telnet进行远程管理:service -status-all|grep running
systemctl list-unit-files | grep enabled将列出所有已启用的
如果您想要当前正在运行的设备,则需要systemctl | grep running
查看/etc/passwd文件中所有用户:说明每个用户的作用。
Mysql 数据库
Freeswitch sip 服务
Root 超管
访问控制
检查是否对用户使用系统资源制定了策略,查看用户对(如passwd,shadow,logindefs,crontab等;)文件的访问权限并记录。(ls -l /etc/passwd)
/etc/group | grep wheel(需禁止wheel组用户su成管理用户)。
检查是否对系统不需要的服务、共享路径等进行了禁用和删除。ps aux(静态查看进程) top (动态查看进程) netstat -anp
查看是否有ftp、vsftp、dns、samba、http、dhcp、mail、其他等服务
不同管理用户是否分离,不同管理用户是否仅保留最小权限,是否具有系统管理员账户、数据库管理员账户、运维监控人员账户?
检查系统是否存在默认账户adm、sync、shutdown、halt、news、Uucp、operator、games、gopher、其他等(vim /etc/passwd vim /etc/shadow)
安全审计
是否启用syslogd系统日志服务或采用主机安全审计系统(使用命令"ps -ef|grep syslog"查看syslog日志服务器有没有启用);
检查是否启用相对完整的安全审核策略(查看/var/log文件中等记录了什么日志,是否包含utmp、wtmp、lastlog、bootlog、消息日志messages、安全日志secure、守护进程日志cron等重要日志文件)。查看审计日志文件内容 more /var/log/audit/audit.log
检查审核记录的要素是否齐备(查看审计日志文件内容 #more /var/log/audit.d ,分析其是否包括事件的日期、时间、类型、主体标识、客体标识和结果等);(这个文件没有)
入侵防范
是否提供了入侵检测功能,使用什么实现,入侵检测记录是否可以包括源IP、攻击的类型、攻击的目的、攻击的时间,并且发生严重入侵事件时是否可以提供报警(如邮件报警)
检查是否对重要系统文件的完整性进行检测;fsck -t ext3 /dev/sda1 -r;
检查是否安装无用的多余组件;确认系统目前正在运行的服务:#service -status-all|grep running ,
systemctl list-unit-files | grep enabled
systemctl | grep running
查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等;
查看是否关闭talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等非必需的网络服务;
是否及时更新系统补丁并采取相应定期更新措施(查看补丁安装情况:#rpm -qa|grep patch)。
rpm -qa|grep patch
patch-2.7.1-12.el7_7.x86_64
填写系统情况信息:如下图:
uname -a
Linux SGT-nbsg 3.10.0-1127.18.2.el7.x86_64 #1 SMP Sun Jul 26 15:27:06 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
资源控制
检查cat /etc/hosts.deny,查看是否有"ALL:ALL"禁止所有的请求,并查看允许规则;
cat /etc/hosts.allow,是否设置了最小的服务访问允许规则,如sshd:IP/掩码;
检查是否启用了用户超时自动注销功能,查看/etc/profile中的TIMEOUT环境变量,在"HISTFILESIZE="行的下一行是否有如下一行:TMOUT=600 ;
export TMOUT=900
Source /etc/profile
检查系统资源的监视范围 ulimit -a
ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 63457
max locked memory (kbytes, -l) 64
max memory size (kbytes, -m) unlimited
open files (-n) 65535
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 63457
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited
询问管理员是否创建了磁盘配额,使用"repquota -a"命令来查看每个用户的磁盘配额;查看文件/etc/security/limits.conf中是否对用户或组的资源使用进行了限制。
是否对系统的服务水平降低到预先规定的最小值进行报警,报警方式是什么?
在 Linux 服务器上处理 ICMP netmask 和 timestamp 相关的安全问题,您可以采取以下步骤:
-
禁用 ICMP netmask 和 timestamp:
-
编辑您的 Linux 服务器上的 ICMP 配置文件。这个文件可能位于
/etc/sysctl.conf
或者/etc/sysctl.d/
目录下的一个文件中。如果找不到相关的配置文件,可能需要创建一个新的。您可以使用文本编辑器打开该文件,例如使用命令sudo nano /etc/sysctl.conf
。 -
在配置文件中查找或添加以下行,如果已存在,请确保行前没有注释符号(#):
net.ipv4.icmp_echo_ignore_all = 1
这将禁用服务器对所有的 ICMP echo 请求的回应。
-
保存并关闭文件。如果您创建了一个新文件,请确保文件以
.conf
结尾,并确保保存时没有使用.conf
作为文件扩展名。
-
-
应用修改的配置:
-
运行以下命令,以使更改的配置生效:
sudo sysctl -p
-
-
规则配置和防火墙设置:
- 如果您使用防火墙,请确保防火墙规则中禁止传入和传出的 ICMP netmask 和 timestamp 消息。您可以使用防火墙软件(如 iptables、nftables)或其他防火墙管理工具来配置相应的规则。具体的配置方法会根据您使用的防火墙软件而有所不同,请参考相关文档或咨询您的系统管理员。
-
定期更新系统:
- 定期更新您的 Linux 服务器操作系统和相关软件包。这有助于修复已知漏洞并提供最新的安全补丁。
强烈建议在进行任何更改之前,先备份现有的配置文件,并确保您对系统配置有充分的了解。如果您不确定该如何操作,或者担心操作可能引发问题,请寻求专业的系统管理员或 Linux 知识专家的帮助。
mysql配置