应用介绍

linux安全检查，

脚本说明：

   1.将本目录所有文件都放入到一台自己的本地linux主机同一目录下

   2.将服务器IP、普通账号、普通账号密码、root密码依次按以下格式写入到hosts.txt中（注意“:”作为hosts.txt的分隔符）：

192.168.1.81:user:123456:nothing

192.168.1.10:user:123456:nothing

192.168.1.11:user:123456:nothing

   3.执行sh login.sh,脚本将自动批量上传checklinux.sh到服务器/tmp目录下，并且自动执行和自动上传结果到本地linux主机上

   4.最后将服务器上传的脚本和结果自动删除

(注意：本脚本适用于linux系统)

检查内容

0.IP及版本

0.1 IP地址

0.2 版本信息

0.2.1 系统内核版本

0.2.2 系统发行版本

0.3 ARP

0.3.1 ARP表

0.3.2 ARP攻击

1.端口情况

1.1 开放端口

1.1.1 TCP开放端口

1.1.2 UDP开放端口

1.2 TCP高危端口

1.3 UDP高危端口

2.网络连接

3.网卡模式

4.自启动项

4.1 用户自定义启动项

4.2 系统自启动项

5.定时任务

5.1 系统定时任务

5.1.1 时间看系统定时任务

5.1.2 分析可疑系统定时任务

5.2 用户定时任务

5.2.1 时间看用户定时任务

5.2.2 分析可疑用户定时任务

6.路由与路由转发

7.进程分析

7.1 系统进程

7.2 守护进程

8.关键文件检查

8.1 DNS文件

8.2 hosts文件

8.3 公钥文件

8.4 私钥文件

9.运行服务

10.登录情况

11.用户与用户组

11.1 超级用户

11.2 克隆用户

11.3 可登录用户

11.4 非系统用户

11.5 shadow文件

11.6 空口令用户

11.7 空口令且可登录

11.8 口令未加密

11.9 用户组分析

11.9.1 用户组情况

11.9.2 特权用户

11.9.3 相同UID用户组

11.9.4 相同用户组名

11.10 文件权限

11.10.1 etc文件权限

11.10.2 shadow文件权限

11.10.3 passwd文件权限

11.10.4 group文件权限

11.10.5 securetty文件权限

11.10.6 services文件权限

11.10.7 grub.conf文件权限

11.10.8 xinetd.conf文件权限

11.10.9 lilo.conf文件权限

11.10.10 limits.conf文件权限

12.历史命令

12.1 系统历史命令

12.1.1 系统操作历史命令

12.1.2 是否下载过脚本文件

12.1.3 是否增加过账号

12.1.4 是否删除过账号

12.1.5 历史可疑命令

12.1.6 本地下载文件

12.2 数据库历史命令

13.策略与配置

13.1 防火墙策略

13.2 远程访问策略

13.2.1 远程允许策略

13.2.2 远程拒绝策略

13.3 账号与密码策略

13.3.1 密码有效期策略

13.3.2 密码复杂度策略

13.3.3 密码已过期用户

13.3.4 账号超时锁定策略

13.3.5 grub密码策略检查

13.3.6 lilo密码策略检查

13.4 selinux策略

13.5 sshd配置

13.5.1 sshd配置

13.5.2 空口令登录

13.5.3 root远程登录

13.5.4 ssh协议版本

13.6 NIS配置

13.7 Nginx配置

13.7.1 原始配置

13.7.2 可疑配置

13.8 SNMP配置检查

14.可疑文件

14.1 脚本文件

14.2 恶意文件

14.3 最近变动的文件

14.4 文件属性

14.4.1 passwd文件属性

14.4.2 shadow文件属性

14.4.3 gshadow文件属性

14.4.4 group文件属性

15.系统文件完整性

16.系统日志分析

16.1 日志配置与打包

16.1.1 查看日志配置

16.1.2日志是否存在

16.1.3 日志审核是否开启

16.1.4 自动打包日志

16.2 secure日志分析

16.2.1 成功登录

16.2.2 登录失败

16.2.3 图形登录情况

16.2.4 新建用户与用户组

16.3 message日志分析

16.3.1 传输文件

16.3.2 历史使用DNS

16.4 cron日志分析

16.4.1 定时下载

16.4.2 定时执行脚本

16.5 yum日志分析

16.5.1 下载软件情况

16.5.2 卸载软件情况

16.5.3 可疑软件

16.6 dmesg日志分析

16.6.1 内核自检分析

16.7 btmp日志分析

16.7.1 错误登录分析

16.8 lastlog日志分析

16.8.1 所有用户最后一次登录分析

16.9 wtmp 日志分析

16.9.1 所有用户登录分析

17.内核检查

17.1 内核信息

17.2 异常内核

18.安装软件

18.1 安装软件

18.2 可疑软件

19.环境变量

20.性能分析

20.1 磁盘使用

20.1.1 磁盘使用情况

20.1.2 磁盘使用过大

20.2 CPU

20.2.1 CPU情况

20.2.2 占用CPU前五进程

20.2.3 占用CPU较多资源进程

20.3 内存

20.3.1 内存情况

20.3.2 占用内存前五进程

20.3.3 占用内存占多进程

20.4 网络连接

20.4.1 并发连接

20.5 其他

20.5.1 运行时间及负载情况

21.共享情况