等保测评常用命令
2020-10-31 19:35:40
等保测评常用命令根据系统类型可分为Linux/Unix、Windows、数据库及网络设备四大类,核心功能涵盖用户权限审计、安全策略验证、网络服务监控及日志分析,具体命令及场景如下:
一、Linux/Unix系统测评核心命令用户与权限管理
cat /etc/passwd:查看用户账户信息(UID、GID、登录Shell),等保关注异常账户(如UID为0的非root用户)。
cat /etc/shadow:检查密码加密方式(如$6$表示SHA-512)及过期策略,要求密码复杂度符合规范且定期更换。
ls -l /etc/passwd:验证关键文件权限(建议644),防止非授权修改系统文件。
chmod 755 /path / chown user:group:调整文件权限或所有者,遵循最小权限原则(如可执行文件权限≤755)。
安全策略配置
cat /etc/login.defs:检查密码策略(最大有效期、最小长度),要求密码长度≥8位且包含大小写字母、数字及特殊字符。
cat /etc/pam.d/system-auth:验证密码复杂度规则(如minlen=10),禁止弱密码并启用重用限制(如remember=5)。
chage -l username:查看用户密码过期时间及锁定策略,要求密码有效期≤90天,账户锁定时间≥15分钟。
网络与服务审计
netstat -antp / ss -tuln:监控网络连接及监听端口,识别非必要开放端口(如22/SSH、3306/MySQL)。
iptables -L:检查防火墙规则,仅允许必要端口通过,禁用高危服务(如Telnet)。
systemctl status sshd:验证SSH服务配置,要求禁用root远程登录(PermitRootLogin no)。
日志与进程分析
tail -f /var/log/secure:实时监控登录日志,检测暴力破解尝试(如连续失败登录)。
ps -ef | grep auditd:确认审计服务运行状态,要求审计日志覆盖用户登录、权限变更等关键操作。
账户与策略检查
net user username:查看用户属性(密码有效期、登录时间限制),要求禁用Guest账户并设置密码复杂度策略。
secpol.msc:打开本地安全策略,审核账户锁定策略(如失败登录次数≤5次)。
服务与端口管理
netstat -ano:列出活动连接及进程PID,关闭非必要端口(如135、445)。
sc query state=all:查看系统服务状态,禁用危险服务(如Remote Registry)。
日志与事件分析
eventvwr.msc:打开事件查看器,分析安全日志(如事件ID 4625表示登录失败)。
Oracle数据库
SELECT * FROM dba_users WHERE account_status='OPEN';:检查账户状态,要求禁用默认账户(如SYS、SYSTEM)并启用密码过期策略。
SHOW PARAMETER audit_trail;:验证审计功能是否启用,要求审计日志保留≥180天。
MySQL数据库
SELECT User,Host FROM mysql.user;:查看用户权限及加密方式,要求禁用空密码账户并启用SSL加密连接。
SHOW VARIABLES LIKE 'validate_password%';:检查密码复杂度插件配置,要求密码长度≥8位且包含大小写字母、数字。
华为/H3C交换机
display version:查看设备型号及软件版本,要求禁用默认账户(如admin)并启用SSH登录。
display aaa configuration:验证AAA认证配置,要求启用本地认证或集成RADIUS/TACACS+。
Cisco设备
show running-config | include username:查看用户账户及权限,要求禁用默认账户(如cisco)并启用密码复杂度策略。
show login:检查登录失败处理策略,要求失败登录尝试≤3次,锁定时间≥15分钟。
- 权限控制:避免直接使用root/Administrator操作,优先通过sudo或最小权限账户执行任务。
- 日志完整性:确保审计日志未被篡改(如检查/var/log/audit/audit.log的权限)。
- 补丁管理:定期执行yum check-update(Linux)或wmic qfe list(Windows)检查系统补丁。
- 端口安全:关闭高危端口(如135、445),或通过防火墙限制访问源IP。
以上命令覆盖了等保测评中用户管理、权限控制、网络审计、日志分析等核心场景,需结合具体系统环境灵活应用。
热门标签
