linux安全加固腳本

#linux加固腳本
#!/bin/bash
#
#version1.0;
#write at 2021-08-27;
#write by jiangzhehao;
#只在centos7上測試過
#1、賬號安全
#1.1 賬號加固
#備份文件
cp /etc/login.defs /etc/login.defs.bak
echo "對密碼安全策略進行加固，設置密碼存在時間、密碼長度、密碼過期提醒！"
read -p "設置密碼有效時間(建議90天)：" A
read -p "設置密碼最短長度（建議8位）：" C
read -p "設置密碼過期提醒（建議15天）：" D
sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A /etc/login.defs
sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '0 /etc/login.defs
sed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN    '$C /etc/login.defs
sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '$D /etc/login.defs
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "對密碼安全策略進行加固，新用戶不得和舊密碼相同，且新密碼必須同時包含大寫字母、小寫字母、數字！"
#備份文件
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
sed -i '/pam_pwquality.so/c\password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "對密碼進行加固，如果輸入錯誤密碼超過3次，則鎖定賬戶！"
sed -i '/^auth        required      pam_deny.so/i\auth        required      pam_tally.so onerr=fail deny=10 unlock_time=300' /etc/pam.d/system-auth
echo "被鎖定的用戶可以使用 faillog -u root -r  解除鎖定。"
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "禁止root用戶ssh遠程登錄,需要root用時，使用su切換！"
#備份文件
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 
sed -i '/PermitRootLogin/c\PermitRootLogin no' /etc/ssh/sshd_config
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "限制遠程登錄主機地址！"
read -p "設置遠程登錄地址段(格式為10.1.*.*)：" E
sed -i '/ListenAddress /i\ALLOWUSERS *@'$E'' /etc/ssh/sshd_config
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "清除信任主機列表（信任主機登錄不需要驗證）！"
echo "" > /etc/hosts.equiv
echo "" > /$home/.rhosts
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "history設置優化（建議保存條數1000條，超時時間為300秒）！"
read -p "設置歷史命令保存條數（建議1000）：" F
read -p "設置賬戶自動注銷時間（建議300）：" G
sed -i '/^HISTSIZE/c\HISTSIZE='$F'' /etc/profile
sed -i '/^HISTSIZE/a\TMOUT='$G'' /etc/profile
echo "加固已完成。"
echo "*****************************************************************************************"
#
#1.2用戶檢查
echo "即將對系統中的賬戶進行檢查......"
echo "系統中有登錄權限的用戶有："
awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd
echo "********************************************"
echo "系統中UID=0的特權用戶有："
awk -F: '($3=="0"){print $1}' /etc/passwd
echo "********************************************"
N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
echo "系統中空密碼用戶有：$N"
if [ $N -eq 0 ];then
 echo "恭喜你，系統中無空密碼用戶！！"
 echo "********************************************"
else
 i=1
 while [ $N -gt 0 ]
 do
 None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`
 echo "------------------------"
 echo $None
 echo "必須為空用戶設置密碼！！"
 passwd $None
 let N--
 done
 M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
 if [ $M -eq 0 ];then
 echo "恭喜，系統中已經沒有空密碼用戶了！"
 else
echo "系統中還存在空密碼用戶：$M"
 fi
fi
#
#2、文件系統安全加固
#設置umask值
echo "設置umask值為077！"
sed -i '/^UMASK/c\UMASK           077' /etc/login.defs
echo "加固已完成。"
echo "*****************************************************************************************"
#
#3、禁用不需要的服務
/sbin/chkconfig ip6tables off
/sbin/chkconfig avahi-daemon off
/sbin/chkconfig avahi-dnsconfd off
#
#4、設置需要開啟的端口
#yum install iptables-services -y
#systemctl start iptables
#iptables -F
#iptables -P INPUT DROP
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT