#linux加固腳本 #!/bin/bash # #version1.0; #write at 2021-08-27; #write by jiangzhehao; #只在centos7上測試過 #1、賬號安全 #1.1 賬號加固 #備份文件 cp /etc/login.defs /etc/login.defs.bak echo "對密碼安全策略進行加固,設置密碼存在時間、密碼長度、密碼過期提醒!" read -p "設置密碼有效時間(建議90天):" A read -p "設置密碼最短長度(建議8位):" C read -p "設置密碼過期提醒(建議15天):" D sed -i '/^PASS_MAX_DAYS/cPASS_MAX_DAYS '$A /etc/login.defs sed -i '/^PASS_MIN_DAYS/cPASS_MIN_DAYS '0 /etc/login.defs sed -i '/^PASS_MIN_LEN/cPASS_MIN_LEN '$C /etc/login.defs sed -i '/^PASS_WARN_AGE/cPASS_WARN_AGE '$D /etc/login.defs echo "加固已完成。" echo "*****************************************************************************************" # echo "對密碼安全策略進行加固,新用戶不得和舊密碼相同,且新密碼必須同時包含大寫字母、小寫字母、數字!" #備份文件 cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak sed -i '/pam_pwquality.so/cpassword requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth echo "加固已完成。" echo "*****************************************************************************************" # echo "對密碼進行加固,如果輸入錯誤密碼超過3次,則鎖定賬戶!" sed -i '/^auth required pam_deny.so/iauth required pam_tally.so onerr=fail deny=10 unlock_time=300' /etc/pam.d/system-auth echo "被鎖定的用戶可以使用 faillog -u root -r 解除鎖定。" echo "加固已完成。" echo "*****************************************************************************************" # echo "禁止root用戶ssh遠程登錄,需要root用時,使用su切換!" #備份文件 cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak sed -i '/PermitRootLogin/cPermitRootLogin no' /etc/ssh/sshd_config echo "加固已完成。" echo "*****************************************************************************************" # echo "限制遠程登錄主機地址!" read -p "設置遠程登錄地址段(格式為10.1.*.*):" E sed -i '/ListenAddress /iALLOWUSERS *@'$E'' /etc/ssh/sshd_config echo "加固已完成。" echo "*****************************************************************************************" # echo "清除信任主機列表(信任主機登錄不需要驗證)!" echo "" > /etc/hosts.equiv echo "" > /$home/.rhosts echo "加固已完成。" echo "*****************************************************************************************" # echo "history設置優化(建議保存條數1000條,超時時間為300秒)!" read -p "設置歷史命令保存條數(建議1000):" F read -p "設置賬戶自動注銷時間(建議300):" G sed -i '/^HISTSIZE/cHISTSIZE='$F'' /etc/profile sed -i '/^HISTSIZE/aTMOUT='$G'' /etc/profile echo "加固已完成。" echo "*****************************************************************************************" # #1.2用戶檢查 echo "即將對系統中的賬戶進行檢查......" echo "系統中有登錄權限的用戶有:" awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd echo "********************************************" echo "系統中UID=0的特權用戶有:" awk -F: '($3=="0"){print $1}' /etc/passwd echo "********************************************" N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l` echo "系統中空密碼用戶有:$N" if [ $N -eq 0 ];then echo "恭喜你,系統中無空密碼用戶!!" echo "********************************************" else i=1 while [ $N -gt 0 ] do None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'` echo "------------------------" echo $None echo "必須為空用戶設置密碼!!" passwd $None let N-- done M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l` if [ $M -eq 0 ];then echo "恭喜,系統中已經沒有空密碼用戶了!" else echo "系統中還存在空密碼用戶:$M" fi fi # #2、文件系統安全加固 #設置umask值 echo "設置umask值為077!" sed -i '/^UMASK/cUMASK 077' /etc/login.defs echo "加固已完成。" echo "*****************************************************************************************" # #3、禁用不需要的服務 /sbin/chkconfig ip6tables off /sbin/chkconfig avahi-daemon off /sbin/chkconfig avahi-dnsconfd off # #4、設置需要開啟的端口 #yum install iptables-services -y #systemctl start iptables #iptables -F #iptables -P INPUT DROP #iptables -A INPUT -p tcp --dport 22
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
