linux系统漏洞整改策略
1、远端WWW服务支持TRACE请求漏洞
服务是weblogic部署的,对Linux系统自带的apache没有主观的依赖可以停止。
停止apache命令:service httpd stop
启动apache命令:service httpd start。启动如果报错httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName,解决办法编辑vim /etc/httpd/conf/httpd.conf,搜索#ServerName www.example.com:80,去掉# 将www.example.com 改成 127.0.0.1 保存。
2、Apache httpd 信息泄露漏洞(CVE-2017-9798)
漏洞在服务器上的端口为20002,netstat –tunlp|grep 20002 查找进程,根据pwdx PID
查找路径,没有就杀死此进程。也可参考第1条。
3、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。
重协商就是大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求重新协商,就会发起一次新的handshake,对新的安全参数达成一致
关闭命令:ssl renegotiation disable
4、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)
现场次漏洞只存在于服务器,后又发现此漏洞依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程
方法一 编辑: vi /etc/sysconfig/iptables
添加:-A INPUT -p tcp --dport 5989 -j DROP
-A INPUT -p tcp --sport 5989 -j DROP
重启网络服务:service iptables restart
方法二 根据netstat –tunlp|grep 5989 查找PID ,pwdxPID查看程序路径,如没问题则可以杀死此进程。
5、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
apache服务器解决方案
修改为如下配置:vi /etc/httpd/conf.d/ssl.conf
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务。
lighttpd服务器解决方案
在配置文件lighttpd.conf中禁用RC4算法
ssl.cipher-list="EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"
6、OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)
现场次OPENSSL漏洞,依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程。
7、检测到远端rpc.statd服务正在运行中漏洞
rpc.statd用来协同NFS服务工作的,NFS 是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布。功能是通过网络让不同的机器、不同的操作系统能够彼此分享个别的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据,是在类Unix系统间实现磁盘文件共享的一种方法。服务并不需要NFS服务,所以关闭相关的nfs服务,间接就关闭了rpc.statd
停止NFS命令:service nfslock stop 启动命令:service nfslock start
8、SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
方法一跟新更高版本,下载安装包openssl-1.0.2j.tar.gz,tar –zxvf openssl-1.0.2j.tar.gz。cd /openssl , ./config shared zlib --prefix=/usr/local/openssl && make && make install 再配置环境变量。
方法二现场次漏洞在所有服务器,后又发现此漏洞依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程
9、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
禁用RC4,具体办法参考第5条。
10、检测到远端RPCBIND/PORTMAP正在运行中(CVE-1999-0632)漏洞
rpcbind是一个RPC服务,主要是在nfs共享时候负责通知客户端,服务器的nfs端口号的。简单理解rpc就是一个中介服务。portmap:主要功能是进行端口映射工作。当客户端尝试连接并使用RPC服务器提供的服务(如NFS服务)时,portmap会将所管理的与服务对应的端口提供给客户端,从而使客户可以通过该端口向服务器请求服务。
停止portmap命令: service portmap stop
停止rpcbind命令: service rpcbind stop
11、可通过HTTP获取远端WWW服务信息
此漏洞上的几个服务器依赖的端口为20002,netstat –tunlp|grep 20002 查找进程,根据pwdx PID查找路径,没有就杀死此进程。
12、利用SMTP/VRFY命令可猜测目标主机上的用户名
此漏洞只在服务器(10.230.28.83)依赖的端口为25,netstat –tunlp|grep 20002 查找进程,根据pwdx PID查找路径,没有就杀死此进程。
13、SMTP服务器版本信息可被获取
此SMTP漏洞只在服务器(10.230.28.83)依赖的端口为25,netstat –tunlp|grep 20002 查找进程,根据pwdx PID查找路径,没有就杀死此进程。
14、允许Traceroute探测
traceroute命令利用ICMP协议定位您的计算机和目标计算机之间的所有路由器。TTL值可以反映数据包经过的路由器或网关的数量,通过操纵独立ICMP呼叫报文的TTL值和观察该报文被抛弃的返回信息,traceroute命令能够遍历到数据包传输路径上的所有路由器。traceroute是一条缓慢的命令,因为每经过一台路由器都要花去大约10到15秒。
编辑: vi /etc/sysconfig/iptables
添加:-A FORWARD -p icmp -j DROP
-A FORWARD -p icmp --icmp-type 11 -j DROP
重启网络服务:service iptables restart
查看是否关闭:iptables -L –n
15、ICMP timestamp请求响应漏洞
编辑: vi /etc/sysconfig/iptables
添加:-A INPUT -p ICMP --icmp-type timestamp-request -j DROP
-A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
重启网络服务:service iptables restart
查看是否关闭:iptables -L –n
不需要重启ip:echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
查看:cat /proc/sys/net/ipv4/icmp_echo_ignore_all
16、检测到目标主机加密通信支持的加密算法
现场次漏洞在所有服务器,后又发现此漏洞依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程。
17、检测到目标服务支持SSL中等强度加密算法
现场次SSL漏洞,依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程。