ngnicky-ai/kisa-linux-checker

# 🛡️ KISA 关键信息通信基础设施 Linux 安全自动检查工具 [](LICENSE) [](kisa_linux_check.sh) [](https://www.kali.org/) [](kisa_guide.html) ## 📸 截图 ### 检查结果仪表板  ### 分类检查结果表格  ## 📁 文件结构 | 文件 | 说明 | |------|------| | [`kisa_linux_check.sh`](kisa_linux_check.sh) | 主检查脚本 (bash) | | [`kisa_guide.html`](kisa_guide.html) | 65个项目说明 · 检查标准 · 修复方法指南 | | [`sample_imgs/`](sample_imgs/) | 报告样例截图 | ## ✅ 检查项目 (共65项) | 类别 | 项目范围 | 项目数 | 主要内容 | |---------|-----------|---------|-----------| | 🟢 账户管理 | U-01 ~ U-15 | 15项 | root 远程登录限制，密码复杂性，账户锁定，UID 重复，Session Timeout | | 🟡 文件/目录管理 | U-16 ~ U-29 | 14项 | 系统文件权限，SUID/SGID，World Writable，hosts.equiv，防火墙 | | 🔴 服务管理 | U-30 ~ U-62 | 33项 | finger/FTP/r系列/NFS/SNMP/Apache/SSH/NTP/Crontab | | 🟣 补丁管理 | U-63 | 1项 | 是否应用了最新安全补丁 | | 🩵 日志管理 | U-64 ~ U-65 | 2项 | syslog/journald 设置，logrotate | ## 🚀 使用方法 ### 1. 下载脚本 ``` git clone https://github.com/ngnicky-ai/kisa-linux-checker.git cd kisa-linux-checker ``` ### 2. 赋予执行权限 ``` chmod +x kisa_linux_check.sh ``` ### 3. 执行检查 ``` # 推荐: 以 root 权限运行（shadow, iptables 等全面检查） sudo bash kisa_linux_check.sh # 普通用户运行（部分项目受限） bash kisa_linux_check.sh ``` ### 4. 查看结果 ``` # 终端摘要输出示例 ================================================================ 점검 완료 — 결과 요약 양호 (PASS): 27 건 취약 (FAIL): 13 건 검토 (WARNING): 10 건 해당없음 (N/A): 15 건 총 점검: 65 건 ================================================================ 보고서 저장 완료: kisa_report_20260510_094256.html # 打开 HTML 报告 firefox kisa_report_*.html xdg-open kisa_report_*.html ``` ## 📊 结果判定标准 | 状态 | 颜色 | 含义 | |------|------|------| | **PASS** (良好) | 🟢 绿色 | 满足检查标准 | | **FAIL** (脆弱) | 🔴 红色 | 需要立即修复 | | **WARNING** (需复查) | 🟡 橙色 | 建议进行安全复查 | | **N/A** (不适用) | ⚪ 灰色 | 未使用相关服务/功能 | ## 📖 检查项目指南 使用浏览器打开 [`kisa_guide.html`](kisa_guide.html) 即可查看 **全部65个项目** 的详细指南。 - 🔍 **实时搜索**：按项目代码(U-01)、关键字、文件名即时搜索 - 📂 **分类过滤**：账户管理 / 文件管理 / 服务 / 补丁 / 日志 - ✅ 良好·❌ 脆弱标准的视觉区分 - 💡 提供修复方法的代码块 - 📄 显示相关文件标签 ## 📋 主要检查项目详情

🟢 账户管理 (U-01 ~ U-15)

| 代码 | 检查项目 | 检查文件 | |------|-----------|-----------| | U-01 | root 账户远程登录限制 | `/etc/ssh/sshd_config` | | U-02 | 密码复杂性设置 | `/etc/pam.d/common-password` | | U-03 | 账户锁定阈值设置 | `/etc/pam.d/common-auth` | | U-04 | 密码文件保护 (shadow) | `/etc/shadow` | | U-05 | 禁止除 root 外 UID 为 0 的账户 | `/etc/passwd` | | U-06 | root 账户 su 限制 (wheel 组) | `/etc/pam.d/su` | | U-07 | 密码最小长度 (≥8) | `/etc/login.defs` | | U-08 | 密码最长使用期限 (≤90天) | `/etc/login.defs` | | U-09 | 密码最短使用期限 (≥1天) | `/etc/login.defs` | | U-10 | 删除不必要的账户 | `/etc/passwd` | | U-11 | 管理员组最少账户数 | `/etc/group` | | U-12 | 禁止无账户的 GID | `/etc/group` | | U-13 | 禁止重复的 UID | `/etc/passwd` | | U-14 | 用户 Shell 检查 | `/etc/shells` | | U-15 | Session Timeout 设置 (TMOUT≤600) | `/etc/profile` |

🟡 文件及目录管理 (U-16 ~ U-29)

| 代码 | 检查项目 | 标准 | |------|-----------|------| | U-16 | root PATH 禁止包含 '.' | PATH 中不包含当前目录 | | U-17 | 禁止无属主的文件 | 没有 nouser/nogroup 文件 | | U-18 | /etc/passwd 权限 | ≤ 644 | | U-19 | /etc/shadow 权限 | ≤ 400 | | U-20 | /etc/hosts 权限 | ≤ 644 | | U-21 | /etc/inetd.conf 权限 | ≤ 600 | | U-22 | /etc/rsyslog.conf 权限 | ≤ 640 | | U-23 | /etc/services 权限 | ≤ 644 | | U-24 | SUID/SGID 文件检查 | 白名单外无其他文件 | | U-25 | 家目录权限 | ≤ 755 | | U-26 | World Writable 文件 | /tmp 之外无此文件 | | U-27 | /dev 异常文件 | 无普通文件 | | U-28 | 禁止 hosts.equiv / .rhosts | 文件不存在 | | U-29 | 连接 IP/端口 限制 | 启用防火墙规则 |

🔴 服务管理 (U-30 ~ U-62) — 主要项目

| 代码 | 检查项目 | |------|-----------| | U-30 | 禁用 finger 服务 | | U-31 | 禁用 Anonymous FTP | | U-32 | 禁用 r 系列服务 (rsh/rlogin/rexec) | | U-33 | 禁用易受 DoS 攻击的服务 (echo/chargen) | | U-34~36 | 禁用 NFS / automountd | | U-39 | 禁用 tftp/talk 服务 | | U-45~51 | Apache Web 服务器安全设置 7项 | | U-52 | SSH 服务运营 (替代 Telnet) | | U-58~59 | SNMP 服务及 Community String | | U-60 | 登录警告消息 (不暴露 OS 信息) | | U-61 | NTP 服务器同步 | | U-62 | Crontab 服务权限设置 |

## ⚙️ 支持环境 | 项目 | 支持范围 | |------|-----------| | **OS** | Debian / Ubuntu / Kali Linux | | **包管理** | apt (基于 dpkg) | | **日志** | rsyslog / systemd-journald | | **防火墙** | iptables / ufw / nftables | | **执行权限** | 普通用户 (受限) / root (推荐) | ## ⚠️ 注意事项 - **应用于生产服务器前**，请先在测试环境中进行验证。 - 部分检查项目（`/etc/shadow`、`iptables` 等）**需要 root 权限**。 - 此工具**仅供检查使用**，不会对系统进行任何修改。 - 由于 **Kali Linux** 的特性，部分项目将被处理为 N/A（不适用）。 ## 📚 参考资源 - [KISA 韩国互联网振兴院 - 关键信息通信基础设施保护指南](https://www.kisa.or.kr) - [KISA 信息安全指南（关键信息通信基础设施技术漏洞分析·评估方法详细指南）](https://www.kisa.or.kr/2060204/form?postSeq=13) ## 📝 许可证 MIT License — 可自由用于教育及内部安全检查目的。

标签：Google搜索, KISA安全基线, Linux安全审计, meg, osquery, 信息安全, 后端开发, 多模态安全, 安全合规, 安全基线, 应用安全, 教学环境, 无线安全, 服务配置检查, 权限检测, 等保检查, 系统加固, 网络代理, 网络安全, 网络安全审计, 账户管理, 运维安全, 隐私保护