身份鉴别

以root身份登录LINUX，查看/etc/passwd和/etc/shadow，检查是否有密码为空的用户。访谈是否采用堡垒机登录等。

cat /etc/passwd

cat /etc/shadow

查看/etc/login.defs中PASS_MAX_DAYS（密码最长过期天数）、 （密码最小过期天数）、PASS_MIN_LEN（密码最小长度）、PASS_WARN_AGE（密码过期警告天数）

cat /etc/login.defs

PASS_MAX_DAYS 9999

PASS_MIN_DAYS 7

PASS_MIN_LEN 8

PASS_WARN_AGE 7

应启用登录失败处理功能（/etc/pam.d/login | grep deny）

以root身份登录进入Linux，查看文件内容：#cat /etc/pam.d/system-auth 该文件中是否存在“account required /lib/security/pam_tally.so deny=5 no_magic_root reset这一行(这个文件没有)

cat /etc/pam.d/system-auth

查看是否运行sshd服务：service --status-all|grep sshd，

查看是否使用Telnet进行远程管理：service -status-all|grep running

systemctl list-unit-files | grep enabled将列出所有已启用的

如果您想要当前正在运行的设备，则需要systemctl | grep running

查看/etc/passwd文件中所有用户：说明每个用户的作用。

Mysql 数据库

Freeswitch sip 服务

Root 超管

访问控制

检查是否对用户使用系统资源制定了策略，查看用户对（如passwd，shadow，logindefs，crontab等；）文件的访问权限并记录。（ls -l /etc/passwd）

/etc/group | grep wheel(需禁止wheel组用户su成管理用户)。

检查是否对系统不需要的服务、共享路径等进行了禁用和删除。ps aux(静态查看进程) top （动态查看进程） netstat -anp

查看是否有ftp、vsftp、dns、samba、http、dhcp、mail、其他等服务

不同管理用户是否分离，不同管理用户是否仅保留最小权限，是否具有系统管理员账户、数据库管理员账户、运维监控人员账户？

检查系统是否存在默认账户adm、sync、shutdown、halt、news、Uucp、operator、games、gopher、其他等（vim /etc/passwd vim /etc/shadow）

安全审计

是否启用syslogd系统日志服务或采用主机安全审计系统（使用命令“ps -ef|grep syslog”查看syslog日志服务器有没有启用）；

检查是否启用相对完整的安全审核策略（查看/var/log文件中等记录了什么日志，是否包含utmp、wtmp、lastlog、bootlog、消息日志messages、安全日志secure、守护进程日志cron等重要日志文件）。查看审计日志文件内容 more /var/log/audit/audit.log

检查审核记录的要素是否齐备（查看审计日志文件内容 #more /var/log/audit.d ，分析其是否包括事件的日期、时间、类型、主体标识、客体标识和结果等）；（这个文件没有）

入侵防范

是否提供了入侵检测功能，使用什么实现，入侵检测记录是否可以包括源IP、攻击的类型、攻击的目的、攻击的时间，并且发生严重入侵事件时是否可以提供报警（如邮件报警）

检查是否对重要系统文件的完整性进行检测；fsck -t ext3 /dev/sda1 -r；

检查是否安装无用的多余组件；确认系统目前正在运行的服务：#service -status-all|grep running ，

systemctl list-unit-files | grep enabled

systemctl | grep running

查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等；

查看是否关闭talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等非必需的网络服务；

是否及时更新系统补丁并采取相应定期更新措施（查看补丁安装情况：#rpm -qa|grep patch）。

rpm -qa|grep patch

patch-2.7.1-12.el7_7.x86_64

填写系统情况信息：如下图：

uname -a

Linux SGT-nbsg 3.10.0-1127.18.2.el7.x86_64 #1 SMP Sun Jul 26 15:27:06 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

资源控制

检查cat /etc/hosts.deny，查看是否有“ALL:ALL”禁止所有的请求，并查看允许规则；

cat /etc/hosts.allow，是否设置了最小的服务访问允许规则，如sshd:IP/掩码；

检查是否启用了用户超时自动注销功能，查看/etc/profile中的TIMEOUT环境变量，在“HISTFILESIZE=”行的下一行是否有如下一行:TMOUT=600 ；

export TMOUT=900

Source /etc/profile

检查系统资源的监视范围 ulimit -a

ulimit -a

core file size (blocks, -c) 0

data seg size (kbytes, -d) unlimited

scheduling priority (-e) 0

file size (blocks, -f) unlimited

pending signals (-i) 63457

max locked memory (kbytes, -l) 64

max memory size (kbytes, -m) unlimited

open files (-n) 65535

pipe size (512 bytes, -p) 8

POSIX message queues (bytes, -q) 819200

real-time priority (-r) 0

stack size (kbytes, -s) 8192

cpu time (seconds, -t) unlimited

max user processes (-u) 63457

virtual memory (kbytes, -v) unlimited

file locks (-x) unlimited

询问管理员是否创建了磁盘配额，使用“repquota -a”命令来查看每个用户的磁盘配额；查看文件/etc/security/limits.conf中是否对用户或组的资源使用进行了限制。

是否对系统的服务水平降低到预先规定的最小值进行报警，报警方式是什么？

在 Linux 服务器上处理 ICMP netmask 和 timestamp 相关的安全问题，您可以采取以下步骤：

1. 禁用 ICMP netmask 和 timestamp：

- 编辑您的 Linux 服务器上的 ICMP 配置文件。这个文件可能位于 `/etc/sysctl.conf` 或者 `/etc/sysctl.d/` 目录下的一个文件中。如果找不到相关的配置文件，可能需要创建一个新的。您可以使用文本编辑器打开该文件，例如使用命令 `sudo nano /etc/sysctl.conf`。

- 在配置文件中查找或添加以下行，如果已存在，请确保行前没有注释符号（#）：

```

net.ipv4.icmp_echo_ignore_all = 1

```

这将禁用服务器对所有的 ICMP echo 请求的回应。

- 保存并关闭文件。如果您创建了一个新文件，请确保文件以 `.conf` 结尾，并确保保存时没有使用 `.conf` 作为文件扩展名。

2. 应用修改的配置：

- 运行以下命令，以使更改的配置生效：

```

sudo sysctl -p

```

3. 规则配置和防火墙设置：

- 如果您使用防火墙，请确保防火墙规则中禁止传入和传出的 ICMP netmask 和 timestamp 消息。您可以使用防火墙软件（如 iptables、nftables）或其他防火墙管理工具来配置相应的规则。具体的配置方法会根据您使用的防火墙软件而有所不同，请参考相关文档或咨询您的系统管理员。

4. 定期更新系统：

- 定期更新您的 Linux 服务器操作系统和相关软件包。这有助于修复已知漏洞并提供最新的安全补丁。

强烈建议在进行任何更改之前，先备份现有的配置文件，并确保您对系统配置有充分的了解。如果您不确定该如何操作，或者担心操作可能引发问题，请寻求专业的系统管理员或 Linux 知识专家的帮助。

mysql配置