2. 程式人生 > 其它 >運維大鏢客:Linux 合規配置指令碼第一版

運維大鏢客:Linux 合規配置指令碼第一版

阿新 發佈:2020-12-09

技術標籤:運維devops落地運維linux安全centos

還在為Linux合規配置檢查不過關而發愁嗎?
最新的配置合規指令碼來啦!

#!/bin/bash

#################################################################
## Linux 裝置合規配置指令碼
## 基於 Centos7
## 在執行之前請務必先瀏覽一遍 有一些重要的資訊需要留意
## 注意,此指令碼有些部分只能執行一遍,如果執行多次會產生錯誤
## Update at: 20201208

#################################################################
 

USER_NAME=demo
USER_PASSWD=demopass!@
NTP_SERVER=


#################################################################
## 設定螢幕保護
echo "=== 正在設定螢幕保護"
gconftool-2 --direct \
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \
--type bool \
--set /apps/gnome-screensaver/idle_activation_enabled true
 

gconftool-2 --direct \
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \
--type bool \
--set /apps/gnome-screensaver/lock_enabled true
gconftool-2 --direct \
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \
--type string \
--set /apps/gnome-screensaver/mode blank-only
gconftool-2 --direct \
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \
--type int \
--set /apps/gnome-screensaver/idle_delay 15


#################################################################
 

## 設定ssh警告banner
touch /etc/sshbanner
chown bin:bin /etc/sshbanner
chmod 644 /etc/sshbanner
echo " Authorized users only. All activity may be monitored and reported "   >/etc/sshbanner
echo "Banner /etc/sshbanner" >> /etc/ssh/sshd_config
echo "=== 正在重啟 sshd 服務"
systemctl restart sshd


#################################################################
## 設定口令生存週期
echo "=== 正在設定口令生存週期"
cp -p /etc/login.defs /etc/login.defs_bak
sed -i "s/^PASS_MIN_LEN.*/PASS_MIN_LEN   8 /g" /etc/login.defs
sed -i "s/^PASS_MAX_DAYS.*/PASS_MAX_DAYS   90 /g" /etc/login.defs


#################################################################
## 設定ssh登入成功後的警告banner
echo "=== 正在設定ssh登入成功後的警告banner"
echo " Authorized users only. All activity may be monitored and reported " > /etc/motd



#################################################################
## 新建使用者賬戶
echo "=== 正在建立自用賬戶"
useradd $USER_NAME
echo $USER_PASSWD | passwd $USER_NAME --stdin  &>/dev/null
echo "$USER_NAME    ALL=(ALL)    NOPASSWD: ALL">> /etc/sudoers



#################################################################
## 刪除無用賬戶
echo "=== 正在刪除無用賬戶"
userdel gdm
userdel listen
userdel webservd
userdel nobody4
userdel noaccess



#################################################################
## 設定使用者口令密碼複雜度策略
echo "=== 正在修改使用者口令密碼複雜度策略"
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
sed -i "s/^password    requisite.*/password    requisite     pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8 /g" /etc/pam.d/system-auth
sed -i "s/^password    sufficient.*/password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok /g" /etc/pam.d/system-auth



#################################################################
## 設定使用者預設MASK
echo "=== 正在設定使用者預設MASK"
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.login /etc/csh.login_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
cp -p /etc/bashrc /etc/bashrc_bak
cp -p /root/.bashrc /root/.bashrc_bak
cp -p /root/.cshrc /root/.cshrc_bak
echo "umask 027" >> /etc/profile
echo "umask 027" >> /etc/csh.login
echo "umask 027" >> /etc/csh.cshrc
echo "umask 027" >> /etc/bashrc
echo "umask 027" >> /root/.bashrc
echo "umask 027" >> /root/.cshrc



#################################################################
## 設定登入超時
echo "=== 正在設定登入超時"
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
echo "TMOUT=180" >> /etc/profile
echo "export TMOUT" >> /etc/profile
echo "set autologout=30" >> /etc/csh.cshrc


#################################################################
## 新增使用者組
echo "=== 正在新增使用者組 ${USER_NAME}"
groupadd ${USER_NAME}
usermod -g ${USER_NAME} ${USER_NAME}                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  


#################################################################
## 防syn攻擊 增加主機訪問控制
## 這裡需要增加特定的IP地址段
echo "=== 正在設定主機IP地址限制"
cp -p /etc/hosts.allow /etc/hosts.allow_bak
cp -p /etc/hosts.deny /etc/hosts.deny_bak
## 注意該地址範圍 別把自己牆到外面
## 這裡sshd允許10段網路訪問
## 我們加入的這個限制會影響4A登入,一定注意
echo "sshd:all:allow" >> /etc/host.allow
echo "sshd:10.:allow" >> /etc/host.allow
echo "telnet:10.:allow" >> /etc/host.allow
echo "sshd:234.234.234.234:deny" >> /etc/hosts.deny
echo "telnet:234.234.234.234:deny" >> /etc/hosts.deny


#################################################################
## 更改telnet警告banner
echo "=== 正在更改telnet警告banner"
echo " Authorized users only. All activity may be monitored and reported " > /etc/issue
echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net
systemctl restart xinetd


#################################################################
## 設定口令重複次數限制
echo "=== 設定口令重複次數限制"
touch /etc/security/opasswd
chown root:root /etc/security/opasswd
chmod 600 /etc/security/opasswd
sed -i "s/^password    required.*/password    required      pam_unix.so     remember=5 /g" /etc/pam.d/system-auth


#################################################################
## 設定口令鎖定策略
echo "=== 正在設定口令鎖定策略"
sed -i "2 s/^/auth        required    pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120\n/"  /etc/pam.d/system-auth


#################################################################
## 設定禁止imcp重定向
echo "=== 正在禁止ICMP重定向"
cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
grep "net.ipv4.conf.all.accept_redirects=0" /etc/sysctl.conf
if [ $? == "1" ]; then
  echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf
fi
sysctl -p



#################################################################
## 鎖定無用賬戶
echo "=== 正在鎖定無用賬戶"
user_arr=("lp" "nobody" "uucp" "games" "rpm" "smmsp" "nfsnobody")
for user in ${user_arr[@]}
do
  res=`egrep -w "$user" /etc/shadow | awk -F: '( $2 !~ "!" ) {print $1":"$2}'`
  if [ -n "$res" ]; then
    echo "**正在鎖定使用者 $user"
    sed -i "s/$user:/$user:\!/g" /etc/shadow
  fi
done

相關推薦

鏢客Linux 配置指令碼第一版

技術標籤devops落地linux安全centos 還在為Linux配置檢查不過關而發愁嗎? 最新的配置指令碼來啦!

資料(49)Linux上安裝部署Zabbix

環境準備 OSCentOS 7 安裝步驟 一,關閉selinux和iptables [root@localhost ~]# systemctl stop firewalld.service [root@localhost ~]# setenforce 0

高階Linux工程師養成記-Linux命令執行過程和命令型別

高階Linux工程師養成記-Linux命令執行過程和命令型別高階Linux工程師養成記

必須掌握的Linux面試題

1、解釋下什麼是GPL,GNU,自由軟體? GPL(通用公共許可證)一種授權,任何人有權取得、修改、重新發布自由軟體的權力。

IT面試問題總結-Linux基礎

簡述Linux主流的發行版? Redhat、CentOS、Fedora、SuSE、Debian、Ubuntu、FreeBSD等。 簡述Linux啟動過程?

噓!偷窺鵝廠專家,讓Linux核心奔跑起來不得不說的祕密

有這麼一個故事,一個程式設計師去相親,當女方問他的職業時,他說自己是一個底層架構工程師,女方聽到“底層”兩個字,很不屑地說:“底層啊,那你什麼時候能升到中高層?男方聽後不知該如何接話。在程式設

曝《GTA6》目前開發困難且混亂,《荒野鏢客救贖》復刻版正在開發中

11 月 1 日訊息,據 DOSGaming 報道,來自 Rockstar Mag 媒體的 Chris 爆料了有關 R 星現開發專案《GTA6》和《荒野大鏢客:救贖》的近況。Chris 透露,《GTA6》目前開發困難且混亂,《荒野大鏢客:救贖》復刻版正在

Take-Two CEO 確認《荒野鏢客救贖 2》續作開發中,至少還要等 3 年

11 月 16 日訊息,《荒野大鏢客:救贖》目前一共推出了兩部作品,且均是製作上乘的佳作,其中第一部和第二部作品之間間隔了 8 年,如今第二部也釋出 4 年了,之前官方透露的資訊少之又少。根據外媒 Game Rant 報道,

《前端》一、Linux基礎--04Shell變數

這一篇文章,我們就要開始學習正式的Shell語言部分的內容。那在開始之前,我們回憶一下,javascript語言,大體都包含了哪些內容?比如資料型別(物件、字串、數值),資料結構(物件、陣列)、運算子(加減乘除與或非

《前端》一、Linux基礎--05Shell運算子

 今天我們來學習下Shell運算子,Shell跟其他的程式語言一樣,也支援多種運算子,包括

《前端》一、Linux基礎--07Shell函式

linux shell 可以使用者定義函式,然後在shell指令碼中可以隨便呼叫。shell中函式的定義格式如下

《前端》一、Linux基礎--08Shell其他及補充

這一篇,我們來學習一些重要的命令,在工作中也會經常用到。 一、簡單正則

《前端》一、Linux基礎--10定時任務

一、程序管理 程序(Process)是計算機中的程式關於某資料集合上的一次執行活動,是系統進行資源分配和排程的基本單位,是作業系統結構的基礎。在早期面向程序設計的計算機結構中,程序是程式的基本執行實體;在當代

《前端》一、Linux基礎--11服務

首先服務的概念,對於linux伺服器來說,其中大多數的軟體都算是服務,比如nginx、mysql、Jenkins等等。下面我們就來學習一下linux中有關服務的一些內容。

初學者必備之centos7防火牆策略配置

運維初學者必備之centos7防火牆策略配置 1.前言Centos7以上的發行版都試自帶了firewalld防火牆的,firewalld去帶了iptables防火牆。其原因是iptables的防火牆策略是交由核心層面的netfilter網路過濾器來處理的,而

Istio 實戰系列(2)讓人頭的『無頭服務』-上

本系列文章將介紹使用者從 Spring Cloud,Dubbo 等傳統微服務框架遷移到 Istio 服務網格時的一些經驗,以及在使用 Istio 過程中可能遇到的一些常見問題的解決方法。

工業資料與商業智慧裝置的Qlik視覺化

在開始本文之前,請閱讀這篇文章以瞭解什麼是Qlik,以及Qlik的功能詳細介紹商業智慧BI明星產品一篇文章帶你走進Qlik

Linux檢視磁碟空間的大小

技術標籤Linux 文章目錄 使用df命令檢視磁碟剩餘空間檢視每個根路徑的分割槽大小

Linux如何根據埠號檢視哪個應用佔用?

技術標籤Linux 文章目錄 問題查程序號lsof命令netstat命令 查應用方式一方式二

螞蟻高管換血為徵信、,還是阿里雲?

三個月前,胡曉明辭去螞蟻集團 CEO 一職,但螞蟻的內部變動不止於此。 昨日,螞蟻集團的管理團隊名單發生重大變動和原先的名單相比,最新名單至少有 5 位高管離開,新增 2 位核心管理人員,1 位原高管再度迴歸螞蟻