Lynis:linux安全审计工具
http://www.rootkit.nl/projects/lynis.html
解压直接运行
1. 系统上安装的二进制文件(例如/bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin目录下的)
2.启动服务(例如GRUB是否有密码保护)
3.系统内核信息(例如默认运行级别,内核加载模块,内核配置文件)
4.内存与进程信息(例如是否有僵尸进程,是否有等待中的I/O操作)
5.账户,群组与身份验证(例如sudoers文件,PAM配置等密码策略,unmask设置等)
6.Shell(/etc/shells)
7.文件系统(例如tmp目录下是否有90天前的文件,root文件系统是否有ACL策略
8.是否禁止外设(usb,fireware)
9.NFS
10.DNS域名服务(/etc/resolv.conf,BIND,PowerDNS, ypbind,nscd)
11.软件包管理(dpkg,rpm)
12.网络信息(网卡,网关,ip,处于waiting状态的连接)
13.打印机(cups)
14.邮件系统(e.g.Postfix,Exim ,Qmail smtpd)
15.防火墙(iptable)
16、web服务器(apache,nignx)安全配置
17.SSH安全配置(例如不运行root远程登录)
18.SNMP安全配置
19.数据库安全配置(MySQL,PostgreSQL,Oracle)
20.LDAP安全配置
21.PHP安全配置
22.Squid安全配置
23.日志文件管理(syslog,logrotate)
24.危险服务 (inetd.conf)
25.系统指纹(/etc/motd /etc/issue /etc/issue.net)
26.定时任务(crontab/cronjob)
27.审计模块是否开启(auditd)
28. 时间同步服务(NTP)
29.加密(例如SSL证书有效期)
30.是否应用安全框架(SELinux,AppArmor ,grsecurity)
31.是否有文件系统完整性检测工具(AFICK,AIDE, Osiris,Samhain,Tripwire
32.是否有恶意程序检测工具(chkrootkit,Rootkit Hunter,ClamAV scanner)
33.特定文件的权限是否合理(例如/root/.ssh是否为rwx------)
34.home目录下是否有敏感文件(例如shell history文件内容是否可疑)
35.是否做过内核加固(扫描sysctl内容)
Rootkit Hunter:系统检测工具
http://www.rootkit.nl/projects/rootkit_hunter.html
./installer.sh --layout custom /usr/local/rkhunter --install #安装
rkhunter 检测五大步骤:
第一部分:检测重要文件的MD5码
第二部分:检测常见rootkit攻击文件和目录
第三部分:检测常见木马端口
第四部分:检测本机信息
第五部分:检测安全套件
在检测期间如果有看到红色的字体,那么可得注意了
