2016年基础安全_主机安全检查表-a类资产0626截图21stboss ib

1、检查主机：STS-IB1,11、账号管理-检测系统自带的与设备运行、等工作无关的账号是否被删除或锁定说明：（这项基线已包含，并且不能命令：）：for i in deamon bin sys adm uucp nuucp prq guest nobody lpd;do cat /etc/security/passwd |grep -wp $i | grep password;done2、账号管理-检查 root 是否可以直接登录命令：hostnamecat /etc/security/user | grep -wp root|grep -v *cat /etc/ssh/sshd_config |

2、grep PermitRootLogin no3、账号管理-检查是否设置帐户定时自动登出说明：检查是否设置帐户定时自动登出（小于等于 300 秒）命令：hostnamecat /etc/profile | grep TMOUT4、口令管理-检查用户口令策略是否符合安全要求命令：hostnamecat /etc/security/passwdlsuser -a minlen minalpha mindiff minother maxage histsize loginretries account_locked ALL5、口令管理-限制说明： (/etc/passwd文件的/etc/group权

3、限/etc/security 的所有者必须是root 和security 组成 员,/etc/passwd 所有用户都可读,/etc/group 必须所有用户都可读)命令：hostnamels -ltr /etc/passwd ls -ltr /etc/groupls -ald /etc/securityls -ltr /etc/security/passwd6、口令管理检查 SNMP 是否修改默认通讯字符串说明：SNMP 服务是否开启，配置文件未设置 public private命令：lssrc a |grep snmpcat /etc/snmpdv3.conf |egrep “public

4、|private”7、系统服务-关闭了不必要的服务说明：除lpd 外，其它服务不能关闭。netsendlssrc -tnetlssrc -a |egrep lpd|syslogd|sendcat /etc/inetd.conf |egrep net|lpd|send8、系统服务-检查 SSH 安全配置说明：/etc/ssh/sshd_config 存在 Protocol 2 的行，PermitEmptyPasswords 设置为 no，/.rhosts、/etc/hosts.equiv 不存在+、未配置具体 IP 地址或主机名命令:cat /etc/ssh/sshd_config|egrep

5、“Protocol|PermitEmptyPasswords|PermitRootLogin” cat /etc/hosts.equiv |grep -v #cat /.rhosts9、系统服务-ftp 安全配置检查说明：命令：cat /etc/ftpuserscat /etc/ftpacs.ctl10、安全配置-系统 banner 安全配置说明：修改系统 banner，避免泄漏操作系统名称，版本号，并且给出登陆告警信息命令：cat /etc/security/login.cfg |grep herald11、安全配置-文件与目录权限#cat /etc/security/user 查看是否有

6、umask 027 内容命令：cat /etc/security/user | grep -ip umask = 2712、安全配置-管理地址安全要求/需要应用方提供是否对/usr/sbin/lsfilt -s -v 4 -O的 ip 源进行设定，目前使用的默认设定13、安全配置-不安全的管理方式说明：关闭不成功。命令：net 服务, /etc/inetd.conf，net 未被注释。 net 或 rlogin 被禁用，登陆cat/etc/inetd.conf |egrep “net|rlogin”lssrc -tnetnet localhost14、日志审计-日志文件安全说明：设备应配置权限，控制对日志文件命令：cat /etc/syslog.confls -l /var/log