linux系统检查列表剖析.docx

1、linux系统检查列表剖析Linux主机检查流程二七年五月安氏互联网安全系统（中国）有限公司1 系统信息1.1 主机名1.2 域名1.3 信息检查1.3.1说明：得到系统主机名、域名1.3.2 检查方法：hostname domainname 1.1.1 结果分析方法：# hostname# domainname(none) 1.4 系统版本信息检查 1.4.1 说明： 得到系统版本信息1.4.2 检查方法：uname -a1.5 网卡信息以及混杂模式检查1.5.1 说明： 得到网卡信息1.5.2 检查方法：ifconfig -a1.6 系统路由信息检查1.6.1 说明：得到系统路由信息1.6

2、.2 检查方法：netstat -r 1.7 系统加载模块信息检查1.7.1 说明：查看系统已加载的模块1.7.2 检查方法：lsmod2 补丁安装情况2.1 系统已安装的rpm包信息检查2.2说明：得到系统已经安装的rpm包列表2.3 检查方法：rpm -qa2.4 结果分析方法：# rpm -qa3 帐号和口令3.1 系统空密码帐号信息检查3.1.1 说明：查看系统是否存在空密码帐号3.1.2 检查方法：awk -F: ($2 = = ) print $1 /etc/shadow3.2 系统uid=0帐号信息检查3.2.1 说明：分析系统是否存在uid=0 帐号 以及其他uid相同帐号3.

3、2.2 检查方法：cat /etc/passwd |awk -F: OFS=|;print $1,$3,$4,$73.3 系统缺省用户（组）信息检查3.3.1 说明：得到系统缺省用户（组）3.3.2 检查方法：cat /etc/passwdcat /etc/group 3.3.3 结果分析方法：查看是否存在系统缺省帐号以及缺省系统组，如：lp,sync,shutdown,halt,news,uucp,operator,games,gopher等3.4 系统帐号shell变量以及noshell文件真实性信息检查3.4.1 说明：得到系统帐号shell变量3.4.2 检查方法：cat /etc/p

4、asswd |awk F: print $7|xargs ls -al3.5 passwd、shadow文件检查3.5.1 说明：检查系统passwd、shadow文件，确保系统中每个用户都有密码，并且密码被shadow。3.5.2 检查方法：pwck3.5.3 结果分析方法：# pwck 3.6 系统缺省密码最短长度检查3.6.1 说明：得到系统缺省密码最短长度3.6.2 检查方法：cat /etc/login.defs | grep PASS_MIN_LEN3.7 系统自动注销帐号登录检查3.7.1 说明：得到超时后系统自动注销帐号登录信息3.7.2 检查方法：cat /etc/profi

5、le | grep TMOUT3.7.3 结果分析方法：# cat /etc/profile | grep TMOUT3.7.4 备3.7.5 注：本例输出表示并未对自动注销帐号登录作设置3.8 root PATH环境变量检查3.8.1 说明：得到root PATH环境变量，是否包含当前目录“.”3.8.2 检查方法：echo $PATH | grep “:.”3.8.3 结果分析方法：# echo $PATH | grep “:.”3.8.4 备3.8.5 注：此检查有一定的局限性，只检查了当前用户的路径设置。3.9 禁止使用ftp的帐号检查3.9.1 说明：得到禁止使用ftp的帐号3.9.

6、2 检查方法：cat /etc/ftpusersftp localhostftp enter3.11 允许su为root的帐号信息检查3.11.1 说明：检查是否允许任何人su为root3.11.2 检查方法：vi /etc/pam.d/su3.11.6 bash shell保存少量命令检查 以及shell history输出文件路径检查3.11.7 说明：得到bash shell能保存的命令条数3.11.8 检查方法：cat /etc/profile | grep HISTSIZEcat /etc/profile |grep HISTFILE 3.12 用户对主机使用的限制检查3.12.1

7、说明：得到系统限制用户对主机使用的信息3.12.2 检查方法检查是否加载了/lib/security/pam_limits.so动态连接库cat /etc/pam.d/login|grep “/lib/security/pam_limits.so”若存在检查cat /etc/security/limits.conf 3.13 系统是否允许guest或匿名3.14 连接信息检查3.13.1 说明：查看系统是否允许guest或匿名连接3.13.2 检查方法：cat /etc/ftpaccess | grep class3.13.3 结果分析方法：# cat /etc/ftpaccess | gre

8、p class# User classes.class all real,guest,anonymous *4 网络与服务4.1 系统运行r进程检查4.1.1 说明：得到系统运行进程4.1.2 检查方法：ps -aux4.1.3 结果分析方法：# ps -aux 4.1.4 备5.1.5 注：计算系统运行进程个数：# ps -aux | wc -l4.2 系统打开端口信息检查4.2.1 说明：得到系统打开的端口信息4.2.2 检查方法：netstat an5 xinetd/inetd服5.6 务信息检查5.6.1 说明：查看系统是否运行xinetd/inetd服务5.6.2 检查方法：ps -

9、ef| grep inetd ; grep v “#” /etc/inetd.conf;ps -ef | grep xinetd;grep “disable” /etc/xinetd.d/*5.7 /etc/hosts.conf信息检查5.7.1 说明：得到系统解析地址顺序 5.7.2 检查方法：cat /etc/host.conf5.8 /etc/hosts.equiv信息检查5.8.1 说明：查看是否存在/etc/hosts.equiv文件5.8.2 检查方法：ls -al /etc/hosts.equiv & cat /etc/hosts.equiv5.9 检查/etc/rc.d/rc?

10、.d自动运行脚本文件权限 修日期 分析5.9.1 说明：得到当前系统运行等级ps ef|grep init5.9.2 检查方法：ls -al /etc/rc?.d/若发现不正常启动脚本 检查其中包含字符串string 文件路径5.10 开放端口与进程信息检查5.10.1 说明：查看某个开放端口由哪个进程打开5.10.2 检查方法：假设要查看的开放端口是2401，执行fuser -n tcp 2401，返回的进程ID为pid，-u 参数查看当前进程uid相关的所有进程再执行ps -ef | grep pid5.11 /etc/rc.d/rc0-6.d各个等级脚本运行/关闭信息检查5.11.1 说

11、明：查看/etc/rc.d/rc0-6.d下运行的脚本5.11.2 检查方法：chkconfig list 5.12 系统ping响应信息检查5.12.1 说明：查看系统是否响应ICMP请求5.12.2 检查方法：cat /proc/sys/net/ipv4/icmp_echo_ignore_all输出为0 不使用该功能输出为1 使用该功能 5.13 系统是否安装ftp以及当前使用版本信息检查5.13.1说明：查看系统是否安装ftp软件包5.13.2检查方法：rpm -qa | grep ftpftp localhost5.14系统是否存在sendmail服务.极其版本检查5.14.1说明：查

12、看系统是否存在sendmail服务或relay进程5.14.2 检查方法：ps ef|grep sendmailtelnet localhost 256 文件系统6.1 初始文件创建权限信息检查6.1.1 说明：查看系统初始文件创建权限6.1.2检查方法：touch /tmp/testls al /tmp/test或者umask -S6.1.3 关键文件极其目录属性信息检查6.2 说明：查看系统关键文件属性6.2.1 检查方法：ls -al file_name6.2.2结果分析方法：应对于如下系统关键文件属性进行检查：/etc/shadow /var/log/messages /var/log

13、/wtmp /var/run/utmp/etc/rc.d/init.d /etc/inittab /etc/group /etc/crontab /var/spool/cron/etc/securetty /etc/lilo.conf /etc/grub.conf /usr/sbin/init6.3/tmp属性信息检查6.3.1 说明：查看/tmp目录属性ls al / |grep tmp6.3.2 备6.4.5 注：本例输出表示/tmp目录已设置sticky位6.5系统特殊文件信息检查6.5.1 说明：查看系统存在的特殊文件（SUID/SGID程序，/dev下的非设备文件，非/dev下的设备

14、文件，所有可写的文件，没有属主的文件）6.5.2 检查方法：查找SUID/SGID程序：# find / -type f ( -perm -04000 -o -perm -02000 ) -ls查找/dev下的非设备文件：# find /dev -type f -exec ls -l ;查找非/dev下的设备文件：# find / ( -type b -o -type c) -print | grep -v /dev/查找所有可写的文件：# find / -perm -2 ! -type l -ls查找没有属主的文件：# find / ( -nouser -o -ongroup) -print

15、6.6 系统分区加载信息检查6.6.1 说明：查看系统分区加载情况6.6.2 检查方法：mountcat /etc/fstab6.6.3 结果分析方法：# mount # cat /etc/fstab 6.7 NFS共享文件系统信息检查6.7.1 说明：查看本地是否存在NFS服务shoumount e若成功则检查 cat /etc/exportt6.8 是否挂载载nfs文件系统信息检查6.8.1 说明：查看系统加载的nfs文件系统信息6.8.2 检查方法：df -k6.8.3 结果分析方法：# df -k 7 日志审核7.1 系统AUTH日志信息检查7.1.1 说明：查看系统AUTH日志信息7

16、.1.2 检查方法：cat syslog.conf | grep auth7.1.3 结果分析方法：# cat syslog.conf | grep auth# Dont log private authentication messages!*.info;mail.none;authpriv.none;cron.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure7.1.4 备7.1.5 注：本例输出表示AUTH日志信息均发往/var/log/secure8 本地安

17、全增强性8.1 系统启动LILO密码设置检查8.1.1 说明：查看系统启动LILO是否设置密码8.1.2 检查方法：cat /etc/lilo.conf | grep passwd8.2 系统禁止Control-Alt-Delete键盘关闭命令信息检查8.2.1 说明：查看系统是否禁止Control-Alt-Delete键盘关闭命令8.2.2 检查方法：cat /etc/inittab | grep ca8.3 检查以下文件是否为空 防止login泄露系统版本8.3.1 说明：查看系统是否屏蔽提示信息8.3.2 检查方法：查看/etc/issue、/etc/以及/etc/redhat-rele

18、ase文件8.4系统启动时默认init运行等级信息检查8.5.1 说明：查看系统启动时默认init运行等级8.5.2 检查方法： cat /etc/inittab | grep id8.5.3 结果分析方法：# cat /etc/inittab | grep idid:3:initdefault:8.6 系统控制台访问信息检查8.6.1 说明：查看哪些系统帐号可以从控制台登录8.6.2 检查方法：检查pam验证模块是否使用了该功能cat /etc/pam.d/login |grep /lib/security/pam_access.so若存在则检查是否设置了access 用户登陆控制列表cat

19、 /etc/security/access.conf | grep -v #8.7 系统虚拟设备8.8 检查8.8.1 说明：查看哪些系统虚拟设备允许远程连接8.8.2 检查方法：cat /etc/securetty | grep -v tty8.8.3 结果分析方法：# cat /etc/securetty | grep -v tty 8.8.3.1 说明 查看当前模块符号列表是否和核心export一至性检查是否有非法插入模块 /sbin/lsmod |grep unused检查是否存在失效模块 /sbin/lsmod |grep autoclean检查核心内存符号输出表 然后比对/sbin

20、/lsmod符号表输出表export的模块命是否一至/sbin/ksyms -a |grep insmod检查是否劫持syscall表调用cat /proc/ksyms |grep sys_call彻底检查 第三方检测工具 kstat将直接检查/dev/kmem 核心内存 输出正确核心符号列表地址 防止有些非法模块劫持核心符号输出kstat 是第三方检测工具 请从s0ftpj.org下载原代码版本编译然后执行kstat |grep insmod 比对 /sbin/ksyms -a |grep insmod 结果2.1.1 使用usermod的L参数来锁定用户口令2.1.2 查看根用户是否限制了

21、SHELL HISTORY记录大小以及是否清空HISTFILE中储存的shell命令记录2.1.3 检查方法echo $HISTSIZE2.1.4 对于本地网络协议层安全性配置参数检查2.1.5 检查方法proc/sys/net/ipv4/ip_local_port_range 向外发送数tcp/udp连接 端口发起范围/proc/sys/net/ipv4/ip_forward 是否禁止ip转发/proc/sys/net/ipv4/icmp_echo_ignore_all 是否禁止本地主机icmp数据包响应/proc/sys/net/ipv4/conf/all/log_martians 是否将

22、伪造地址等消息记录到/var/log/messages/proc/sys/net/ipv4/conf/eth0/forwarding 是否接受含有原路由信息的ip包2.1.6 检查本地默认连接的网关是否静态配置了MAC/IP绑定2.1.7 说明 减少arp欺骗可能 2.1.8 检查方法cat /etc/ether & arp a 2.1.9 初步审核wtmp wtmpx日志审核查看每个用户连接时间统计ac p 查讯该用户上次登陆时间lastlog 用户名 lastlog t 10查看离现在10天前的用户log情况last u 指定uid用户登陆情况 若安装TCP_Wrappers 请检查tcp

23、d.log若syslog.conf为默认值 请检查/var/log/maillog 记录2.1.10 日志安全性评估极其系统默认输出日志检查 检查本地syslog是否默认记录到默认目录2.1.11 检查方法more /etc/syslog.conf 特别是auth以及kernel等记录输出位置检查 /var/log/srcure文件中服务层登陆情况 检查核心错误输出极其消息 根据/etc/syslog.conf中kernel输出文件来检查检查/var/log/sulog 审核用户su成功和失败记录2.1.12 检查本地sysctl配置文件查看是否严格限制了本地网络配置参数2.1.13 检查方法

24、检查判断本地网络数据层安全性极其是否为默认不安全配置more /etc/sysctl.conf2.1.14 检查是否存在这两个核心模块和核心函数漏洞2.1.15 重要漏洞一ptrace/kmod 漏洞 本地提升权限2.1.16 检查方法more /proc/sys/kernel/modprobe2.1.17 重要漏洞二 brk() do brk() 本地提升权限2.1.18 检查方法查看当前内核版本 uname a 来确定是否肯能存在上述漏洞小于 2.4.23版本 基本都存在这两个问题查看普通用户内存分布map图cat /proc/self/maps 是否为默认map结构2.1.19 检查rp

25、c服务开放状态2.1.20 说明 linux rpc服务中许多服务都存在远程利用2.1.21 检查方法 rpcinfo p 检查以下关键字 walld statd mount lock cmsd passwd 2.1.22 对openssh安全性做检查2.1.23 检查方法telnet localhost 22more openssh安装目录/sshd_configmore openssh安装目录/ssh_host_keymore openssh 安装目录/ssh_host_keyls al openssh 安装目录/2.1.24 备注 若使用openssh请检查openssh版本是否为3.6

26、p1以上请确保sshd_config ssh_config ssh_host_key文件为属性为04402.1.25 检查apache安全性2.1.26 说明apache 配置不正确会带来很多远程访问层上的问题cat apache安装目录/conf/httpd.conf|grep LimitRequest若启用ssl验证检查openssl版本是否等于或者小于0.9.6arpm iqa |grep openssl2.1.27 说明 检查是否存在proxy等不必要模块2.1.28 说明 是否安装了不安全apache web服务处理模块2.1.29 检查方法apache安装目录/bin/httpd

27、l 2.1.30 备注若使用apache 检查conf/httpd.conf文件确保apache关闭用户主页目录发布功能 若启用ssl 请检查openssl版本是否小于0.9.6b 以及httpd加载模块情况2.1.31 确认以下文件不存在系统任何目录 .forward .rhosts .netrc2.1.32 说明 以下文件存在高风险机制2.1.33 检查方法find / -name “.forward” find / -name “.rhosts”find / -name “.netrc”9 后门与日志检查10 第三方安全产品安装情况10.1 产品名10.2 称 版本号 管理方式 用途ssh # rpm -qa | grep ssh# ssh -V 10.3 产品名10.4 称 版本号 管理方式 用途TCP Wrapper # cat /etc/hosts.allow# cat /etc/hosts.deny 10.4.1 注：由于产品安装可能无法检测，同时考虑到管理员可能伪装版本号，建议使用询问管理员的方式进行填写。管理方式填写时选择Web，Telnet/SSH，Console