安全基线检查脚本大全包含哪些常用系统安全检查脚本？

安全基线检查是保障系统安全的基础工作,通过自动化脚本可快速识别配置缺陷、权限异常等风险，避免人工疏漏，以下从操作系统、应用服务、网络设备、数据库四个维度，汇总常用安全基线检查脚本的核心逻辑与使用场景。

操作系统基线检查脚本

操作系统是安全基线的核心,需重点检查账户策略、服务配置、日志审计等内容，以Linux为例，可通过Shell脚本实现批量检查：关键项包括SSH禁止root登录（grep "PermitRootLogin no" /etc/ssh/sshd_config）、密码复杂度（grep "pam_pwquality.so" /etc/pam.d/common-password）、防火墙状态（systemctl status firewalld），Windows系统则可通过PowerScript脚本检查账户锁定策略（Get-LocalUser | Where-Object {$_.AccountLockoutTime -ne $null}）、共享文件夹权限（Get-SmbShare | Where-Object {$_.Name -ne "IPC$"} | ForEach-Object {Get-SmbAccess -Name $_.Name}）及系统补丁（Get-HotFix | Sort-Object InstalledOn -Descending），此类脚本适用于服务器日常巡检及新系统上线前的合规验收，支持通过SSH或WinRM协议远程执行，结果可输出为HTML或CSV格式便于分析。

应用服务基线检查脚本

应用服务（如Web服务器、中间件）是攻击高频入口，需重点检查版本漏洞、访问控制及安全配置，以Nginx为例，脚本可校验server_tokens off（隐藏版本号）、limit_req（防DDoS配置）及SSL协议版本（grep "ssl_protocols" /etc/nginx/nginx.conf | grep "TLSv1.2"）；Tomcat则需检查manager应用访问权限（grep "role name="manager-gui"" /conf/tomcat-users.xml）及AJP端口关闭状态，脚本可通过curl模拟请求或直接解析配置文件，结合漏洞库（如CVE）自动标记高危版本，适用于Web应用上线前安全扫描及定期合规检查，支持与CI/CD工具集成实现自动化检测。

网络设备基线检查脚本

网络设备（路由器、交换机、防火墙）的安全基线需关注访问控制、协议加密及默认配置，通过SSH登录设备执行脚本，可检查：默认密码关闭（show run | include "enable secret"）、ACL规则有效性（show access-lists | include "permit"）、SNMPv3加密（show snmp user | include "privacy"），脚本需适配不同厂商命令（如华为、思科），支持批量设备巡检，结果可生成风险清单，适用于网络架构安全审计及合规性验收，帮助避免因配置错误导致的数据泄露或服务中断。

数据库基线检查脚本

数据库存储核心数据,需重点检查权限管理、备份策略及弱口令，MySQL可通过脚本执行SELECT user, host FROM mysql.user WHERE password=PASSWORD('') OR user=''（检查匿名账户）、SHOW VARIABLES LIKE 'validate_password.length'（密码长度校验）；Oracle则需检查GRANT SELECT ANY TABLE TO PUBLIC（公共权限过度授权）及备份任务状态（SELECT * FROM dba_jobs WHERE job='BACKUP'），脚本支持远程连接数据库，结果可导出为Excel，适用于数据库安全评估及数据防泄漏检查，建议结合加密审计工具实现实时监控。

安全基线检查脚本需结合业务需求定制,定期更新以适配新漏洞标准（如等保2.0），同时建议结合日志审计工具实现持续监控，构建“检查-修复-验证”闭环。

FAQs

1. 如何选择适合业务场景的安全基线检查脚本？
   答：需根据系统类型（OS/应用/网络/数据库）、合规要求（如等保2.0、ISO27001）及风险优先级选择，优先覆盖高危项（如弱口令、权限越权），再扩展中低风险项（如日志审计、版本更新），同时考虑脚本兼容性（是否支持批量执行、跨平台）及执行效率（避免影响业务性能）。

2. 安全基线检查脚本执行后，如何处理发现的漏洞？
   答：建立漏洞台账，按严重程度分级处理：高危漏洞（如远程代码执行）需24小时内修复，中危漏洞（如权限配置不当）72小时内修复，低危漏洞（如日志未开启）纳入定期优化计划，修复后通过脚本二次验证，对无法立即修复的采取临时防护措施（如访问控制、IP白名单），并跟踪整改闭环，确保风险可控。