Linux主机安全基线检查全面指南

本文档是一份Linux主机基线检查表的初级版本，主要用于系统安全审计和管理。这份清单主要关注以下几个关键领域的安全配置： 1. **身份鉴别**: - 空口令账户检测：通过`awk`命令检查`/etc/passwd`和`/etc/shadow`文件，查看是否存在空口令账户，这可能意味着系统的安全性存在潜在威胁。 - 密码策略：查看`/etc/login.defs`文件中的密码策略设置，包括密码最小长度(`PASS_MIN_LEN`)、最大有效天数(`PASS_MAX_DAYS`)、最小有效天数(`PASS_MIN_DAYS`)、密码过期警告天数(`PASS_WARN_AGE`)以及失败尝试锁定时间(`FAIL_DELAY`)和失败日志启用(`FAILLOG_ENAB`)，这些参数直接影响到密码策略的强度和安全性。 2. **登录失败处理**: - 检查`/etc/pam.d/system-auth`文件，关注与账户锁定相关的设置，如使用`pam_tally`模块来限制连续失败登录次数，并确保`no_magic_rootreset`选项启用，防止未授权的root访问。 3. **用户会话管理**: - 检查`/etc/profile`中的`TMOUT`设置，确保用户在长时间无操作后能自动注销，防止未经授权的访问。 4. **SSH服务**: - 判断是否安装了SSH服务，使用`rpm`命令查找`ssh`包的安装情况。 - 检查`sshd`服务的状态，确认其是否正在运行，以及网络连接端口(`22`)是否对外开放。 - 判断`sshd`服务是否在运行，以及服务的整体状态。 这份检查表对于确保Linux主机的安全性和合规性至关重要，通过定期执行这些测试，管理员可以及时发现并修复潜在的安全漏洞，提高系统的整体安全性。在实际应用中，根据具体的环境需求，可能还需要添加或修改检查项，以适应不同的业务场景。