信息中心对机房服务器进行安全扫描,短期内如何规避高危漏洞,在不影响线上业务的情况下通过安全扫描?


问题及风险描述
系统进行安全扫描,扫描出windous服务器和linux服务器皆存在高危漏洞。需要在短时间内进行修复,并且通过安全扫描。
我们知道,常规的漏洞修复流程一般都是对应用打补丁或者版本升级,这些操作耗费的时间较长,且危险系数较高,因为在未测试的情况下,我们并不知道版本升级之后是否还会兼容现在的业务场景,大概率会影响正常的线上业务。于是,我们就需要一些临时规避扫描的方法。


问题处理
1.windous的漏洞,临时规避安全扫描的方案有:打开防火墙,添加三条入站规则,两条是tcp的(禁止1-3388,3390-10000),一条禁止全部udp,只放通3389(远程桌面),当远程桌面也有漏洞时,可以把3389都禁止掉(前提是有控制台可登陆服务器)。扫描过后,清除刚刚设置的3条防火墙规则即可;

2.linux服务器上对tomcat是进行版本扫描,因此,在tomcat的lib目录下创建org/apache/catalina/util 目录,在此目录下创建ServerInfo.properties文件,然后添加以下内容:

server.info=Apache Tomcat/8.5.24
server.number=8.5.24  #(较新较安全版本)
server.built=Jan 18 2017 22:19:39 UTC 

重启tomcat即可;

3.扫描nginx出现漏洞时,可以通过屏蔽nginx的版本号来规避扫描,在配置文件nginx.conf中,http区段中插入“server_tokens off;”,使用“nginx -s reload”重新载入配置文件;也可以更改版本号,不过是要在编译安装时进行。


下一步解决计划
1.做好防火墙的规则,只放通必需的端口,且放通的端口越少越好;
2.对应用进行打补丁和升级操作,从根源修复漏洞。


注:以上规避方法只是临时应对安全扫描的拙计,并不是一劳永逸的“高招”。在扫描出高危漏洞的时候,一定要引起高度重视,积极修复漏洞。