{ "open": false, "service": { "open": true, "name": "服务加固", "ps": "保护系统服务,开启后将无法添加和删除服务,部分软件无法安装!", "paths": [ { "path": "/etc/rc.d", "chattr": "i", "s_mode": 509, "d_mode": 509 }, { "path": "/etc/rc.d/init.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc0.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc1.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc2.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc3.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc4.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc5.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc6.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc.d/rc.local", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/init.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc0.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc1.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc2.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc3.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc4.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc5.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rc6.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/rcS.d", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/etc/systemd", "chattr": "i", "s_mode": 493, "d_mode": 493 }, { "path": "/lib/systemd", "chattr": "i", "s_mode": 493, "d_mode": 493 } ] }, "home": { "open": true, "name": "环境变量加固", "ps": "保护用户环境变量不被修改,开启后无法自定义用户环境变量!", "paths": [ { "path": "/root/.bash_history", "chattr": "a", "s_mode": 420, "d_mode": 420 }, { "path": "/root/.bashrc", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/root/.bash_logout", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/root/.bash_profile", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/root/.profile", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/etc/profile", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/etc/bash.bashrc", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/etc/sysctl.conf", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/etc/sysctl.d", "chattr": "i", "s_mode": 420, "d_mode": 420 } ] }, "user": { "open": true, "name": "用户加固", "ps": "保护用户,开启后将无法添加删除用户和修改用户密码!", "paths": [ { "path": "/etc/passwd", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/etc/group", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/usr/sbin/groupadd", "chattr": "i", "s_mode": 488, "d_mode": 420 }, { "path": "/usr/sbin/useradd", "chattr": "i", "s_mode": 488, "d_mode": 420 }, { "path": "/usr/bin/passwd", "chattr": "i", "s_mode": 509, "d_mode": 420 } ] }, "bin": { "open": true, "name": "关键目录加固", "ps": "保护系统关键文件不被修改替换!", "paths": [ { "path": "/usr/bin", "chattr": "i", "s_mode": 365, "d_mode": 365 }, { "path": "/usr/sbin", "chattr": "i", "s_mode": 365, "d_mode": 365 }, { "path": "/etc/bashrc", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/usr/local/bin", "chattr": "i", "s_mode": 365, "d_mode": 365 }, { "path": "/usr/local/sbin", "chattr": "i", "s_mode": 365, "d_mode": 365 }, { "path": "/sbin", "chattr": "i", "s_mode": 365, "d_mode": 365 }, { "path": "/bin", "chattr": "i", "s_mode": 365, "d_mode": 365 } ] }, "cron": { "open": true, "name": "计划任务加固", "ps": "保护计划任务不被篡改,开启后无法添加删除计划任务!", "paths": [ { "path": "/usr/bin/crontab", "chattr": "i", "s_mode": 509, "d_mode": 420 }, { "path": "/etc/crontab", "chattr": "i", "s_mode": 420, "d_mode": 420 }, { "path": "/etc/cron.d", "chattr": "i", "s_mode": 509, "d_mode": 509 }, { "path": "/etc/cron.daily", "chattr": "i", "s_mode": 509, "d_mode": 420 }, { "path": "/etc/cron.hourly", "chattr": "i", "s_mode": 509, "d_mode": 420 }, { "path": "/etc/cron.monthly", "chattr": "i", "s_mode": 509, "d_mode": 420 }, { "path": "/etc/cron.weekly", "chattr": "i", "s_mode": 509, "d_mode": 420 }, { "path": "/etc/anacrontab", "chattr": "i", "s_mode": 384, "d_mode": 384 }, { "path": "/var/spool/cron", "chattr": "i", "s_mode": 448, "d_mode": 448 }, { "path": "/var/spool/cron/root", "chattr": "i", "s_mode": 384, "d_mode": 384 }, { "path": "/var/spool/anacron", "chattr": "i", "s_mode": 509, "d_mode": 509 } ] }, "ssh": { "open": true, "name": "SSH服务加固", "ps": "保护SSH不被暴力破解,记录用户登录日志", "cycle": 120, "limit": 3600, "limit_count": 3 }, "process": { "open": true, "name": "异常进程监控", "ps": "监控服务器进程列表,发现异常的进程后立即结束", "process_white": [ "pip", "pip3", "yum", "apt-get", "apt", "redis-cli", "memcached", "sshd", "vm", "vim", "htop", "top", "sh", "bash", "zip", "gzip", "rsync", "tar", "unzip", "rar", "unrar", "php", "composer", "pkill", "mongo", "mongod", "php-fpm", "php-fpm5.6", "php-fpm7.0", "php-fpm7.1", "php-fpm7.2", "php-fpm7.3", "php-fpm7.4", "php-fpm8.1", "php-fpm8.2", "nginx", "httpd", "lsof", "ps", "vi", "vim", "redis-server", "mysqld", "mysqld_safe", "mysql", "pure-ftpd", "sparse_dd", "stunnel", "squeezed", "vncterm", "awk", "ruby", "postgres", "mpathalert", "vncterm", "multipathd", "fe", "elasticsyslog", "syslogd", "v6d", "xapi", "screen", "runsvdir", "svlogd", "java", "udevd", "ntpd", "irqbalance", "qmgr", "wpa_supplicant", "mysqld_safe", "sftp-server", "lvmetad", "gitlab-web", "pure-ftpd", "auditd", "master", "dbus-daemon", "tapdisk", "init", "ksoftirqd", "kworker", "kmpathd", "kmpath_handlerd", "python", "kdmflush", "bioset", "crond", "kthreadd", "migration", "rcu_sched", "kjournald", "gcc", "gcc++", "nginx", "mysqld", "php-cgi", "login", "firewalld", "iptables", "systemd", "network", "dhclient", "systemd-journald", "chrony", "chronyd", "chronyc", "NetworkManager", "systemd-logind", "systemd-udevd", "polkitd", "tuned", "rsyslogd", "AliYunDunUpdate", "AliYunDun", "du", "sendmail", "gunicorn", "python2", "python3", "python34", "python2.6", "runsv", "dd", "mkfs", "fdisk", "systemd-resolve", "rpm", "cc1", "cc1plus", "as", "acme.sh", "cc", "du", "grep", "awk", "sed", "cut", "free", "df", "firewall-cmd", "ufw", "echo", "ls", "cp", "mv", "rm", "diff", "ln", "cat", "more", "wtmp", "date", "e2fsck", "gunzip", "ifconfig", "ip", "route", "ping", "scp", "telnet", "cd", "comm", "touch", "man", "w", "who", "last", "clock", "uname", "su", "uptime", "vmstat", "mount", "umount", "mkdir", "mkswap", "swapon", "e2fsck", "tune2fs", "groupadd", "useradd", "passwd", "userdel", "chown", "chmod", "chgrp", "id", "mail", "gzip", "bzip2", "bunzip2", "networking", "ssh", "find", "locate", "slocate", "dir", "vdir", "pwd", "rename", "rmdir", "updatedb", "whereis", "which", "compress", "ar", "arj", "gzexe", "bzip2", "cksum", "cmp", "col", "colrm", "csplit", "diff3", "emacs", "join", "head", "sort", "wc", "uniq", "tail", "sum", "ulimit", "pkill", "kill", "killall", "pidof", "pstree", "watch", "pgrep", "dumpe2fs", "mke2fs", "sync", "lsyncd", "tune2fs", "basename", "file", "locate/slocate", "ls/dir/vdir", "bzcat", "bzip2recover", "bzless/bzmore", "cpio", "dump", "lha", "resotre", "unarj", "uncompress", "zcat", "zforce", "zipinfo", "znew", "diffstat", "ed", "ex", "expand", "fmt", "fold", "grep/egrep/fgrep", "ispell", "jed", "joe", "less", "look", "od", "paste", "pico", "spell", "split", "tac", "tee", "tr", "unexpand", "alias", "bg", "bind", "declare", "dirs", "enable", "eval", "exec", "exit", "export", "fc", "fg", "hash", "history", "jobs", "logout", "popd", "pushd", "set", "shopt", "umask", "unalias", "unset", "accept", "cancel", "disable", "lp", "lpadmin", "lpc", "lpq", "lpr", "lprm", "lpstat", "pr", "reject", "bc", "cal", "clear", "consoletype", "ctrlaltdel", "dircolors", "eject", "halt", "hostid", "hwclock", "info", "md5sum", "letsencrypt", "mandb", "mesg", "mtools", "mtoolstest", "poweroff", "reboot", "shutdown", "sleep", "stat", "talk", "wall", "whatis", "whoami", "write", "cmsgoagent.linu", "yes", "chfn", "chsh", "finger", "gpasswd", "groupdel", "groupmod", "groups", "grpck", "grpconv", "grpunconv", "logname", "pwck", "pwconv", "dd", "mariadbd", "pwunconv", "usermod", "users", "nice", "nohup", "renice", "badblocks", "blockdev", "chattr", "convertquota", "e2image", "e2label", "edquota", "fail2ban-server", "findfs", "fsck", "grub", "hdparm", "lilo", "lsattr", "mkbootdisk", "mkinitrd", "mkisofs", "mknod", "mktemp", "parted", "quota", "quotacheck", "xargs", "bcm-agent", "bcm-si", "quotaoff", "quotaon", "quotastat", "repquota", "swapoff", "depmod", "dmesg", "insmod", "iostat", "ipcs", "kernelversion", "lsmod", "modinfo", "modprobe", "mpstat", "rmmod", "sar", "slabtop", "sysctl", "tload", "startx", "xauth", "xhost", "xinit", "xlsatoms", "xlsclients", "xlsfonts", "xset", "chroot", "nmap", "ntfs-3g", "sftp", "slogin", "sudo", "awk/gawk", "expr", "gdb", "ldd", "make", "nm", "perl", "test", "arch", "at", "atq", "atrm", "batch", "chkconfig", "crontab", "lastb", "logrotate", "logsave", "logwatch", "lsusb", "patch", "runlevel", "service", "telinit", "dnsdomainname", "domainname", "hostname", "ifcfg", "ifdown", "ifup", "stmpd", "nisdomainname", "ypdomainname", "arp", "arping", "arpwatch", "dig", "elinks", "elm", "ftp", "host", "ipcalc", "lynx", "ncftp", "netstat", "nslookup", "pine", "dhclient-script", "rsh", "tftp", "tracepath", "traceroute", "wget", "arptables", "iptables-save", "iptables-restore", "tcpdump", "ab", "apachectl", "exportfs", "htdigest", "htpasswd", "mailq", "mysqladmin", "msqldump", "mysqlimport", "mysqlshow", "nfsstat", "showmount", "smbclient", "smbmount", "smbpasswd", "squid", "pickup", "local", "localedef", "bounce", "smtp", "smtpd", "trivial-rewrite", "xe-daemon", "cleanup", "nm-dispatcher", "lsinitrd", "barad_agent", "stop.sh", "YDService", "agetty", "systemctl", "AliSecureCheckA", "containerd", "containerd-shim", "certbot-auto", "oneav", "oneavd", "oneav_service_m", "s3fs", "bosfs", "cosfs", "flock", "raidcheck", "run-parts", "man-db.cron", "YDLive", "sgagent" ], "process_white_rule": [ "vif", "node", "pm2", "npm", "yarn", "qemu", "scsi_eh", "xcp", "xen", "docker", "yunsuo", "scsi", "jbd2", "ext4", "xfs", "aliyun", "kswapd", "PM2", "yunsuo", "mkfs", "Ali", "watchdog", "kworker", "ksoftirqd", "migration", "mysql", "/www/server/", "cmsgoagent", "python", "python3", "ifdown", "node", "sd-pam" ], "process_exclude": [ "php-fpm", "git", "mysqld", "mongod", "dockerd", "docker-containerd", "memcached", "jsvc", "jsvc.exec", "nginx", "node", "pm2", "npm", "yarn", "httpd", "gunicorn", "configure", "make", "curl", "wget", "anacron", "mysqldump", "node", "php", "mysql", "netstat", "redis", "postfix" ] } }