以下是根据等保测评技术实践整理的常用命令及其应用场景，涵盖Linux/Unix、Windows、数据库及网络设备等关键领域：

用途：查看用户账户信息(UID、GID、登录Shell等)。

等保关注点：检查是否存在异常账户(如UID为0的非root用户)。

用途：查看加密密码及账户过期策略(密码修改周期、锁定状态)。

等保关注点：验证密码复杂度(如$6$表示SHA-512加密)及过期时间。

用途：检查关键文件权限(建议为644)。

等保要求：确保非授权用户无法修改系统文件。

04

chmod 755 /path / chown user:group

用途：调整文件权限或所有者。

等保要求：遵循最小权限原则(如可执行文件权限≤755)。

用途：检查密码策略(最大有效期、最小长度)。

等保要求：密码长度≥8位，复杂度需包含大小写字母、数字及特殊字符。

用途：验证密码复杂度规则(如minlen=10表示最小长度10位)。

等保要求：禁止使用弱密码，启用密码重用限制(如remember=5)。

用途：查看用户密码过期时间及锁定策略。

等保要求：密码有效期≤90天，账户锁定时间≥15分钟。

用途：监控网络连接及监听端口。

等保关注点：识别非必要开放端口(如22/SSH、3306/MySQL)。

用途：检查防火墙规则。

等保要求：仅允许必要端口通过，禁用高危服务(如Telnet)。

用途：验证SSH服务配置。

等保要求：禁用root远程登录(PermitRootLogin no)。

用途：实时监控登录日志。

等保关注点：检测暴力破解尝试(如连续失败登录)。

ps -ef | grep auditd

用途：确认审计服务运行状态。

等保要求：审计日志需覆盖用户登录、权限变更等关键操作。

用途：查看用户属性(密码有效期、登录时间限制)。

等保要求：禁用Guest账户，设置密码复杂度策略。

用途：打开本地安全策略。

等保关注点：审核账户锁定策略(如失败登录次数≤5次)。

2. 服务与端口管理

用途：列出所有活动连接及对应进程PID。

等保关注点：关闭非必要端口(如135、445)。

用途：查看系统服务状态。

等保要求：禁用危险服务(如Remote Registry)。

用途：打开事件查看器。

等保关注点：分析安全日志(如事件ID 4625表示登录失败)。

用途：检查账户状态。

等保要求：禁用默认账户(如SYS、SYSTEM)，启用密码过期策略。

用途：验证审计功能是否启用。

等保要求：审计日志需保留≥180天。

2. MySQL数据库

SELECT User,Host FROM mysql.user;

用途：查看用户权限及加密方式。

等保要求：禁用空密码账户，启用SSL加密连接。

SHOW VARIABLES LIKE 'validate_password%';

用途：检查密码复杂度插件配置。

等保要求：密码长度≥8位，复杂度需包含大小写字母、数字。

用途：查看设备型号及软件版本。

等保要求：禁用默认账户(如admin)，启用SSH登录。

用途：验证AAA认证配置。

等保要求：启用本地认证或集成RADIUS/TACACS+。

用途：查看用户账户及权限。

等保要求：禁用默认账户(如cisco)，启用密码复杂度策略。

用途：检查登录失败处理策略。

等保要求：失败登录尝试≤3次，锁定时间≥15分钟。

权限控制：避免使用root/Administrator直接操作，优先使用sudo或最小权限账户。

日志完整性：确保审计日志未被篡改(如检查/var/log/audit/audit.log的权限)。

补丁管理：定期执行yum check-update(Linux)或wmic qfe list(Windows)检查系统补丁。

端口安全：关闭高危端口(如135、445)，或通过防火墙限制访问源IP。