2019-07-15

检测到远端XFS服务正在运行中漏洞

临时关闭fs.auto服务:

可以通过编辑/etc/inetd.conf文件,重新启动Inetd进程来关闭fs.auto服务:

1. 注释/etc/inetd.conf文件中的如下一行:

#fs              stream  tcp    wait nobody /usr/openwin/lib/fs.auto    fs

2. 重新启动inetd进程:

# ps -elf |grep inetd

    root  138    1  0  Oct 15 ?        0:00 /usr/sbin/inetd

# kill -1 138


solaris 查找文件 find命令

1. find命令格式

 find: [-H | -L] 路径列表 谓词列表

 可以使用:man find 查看命令选项。

2. 通过文件名查找法:

 如果你把这个文件放在单个的文件夹里面,只要使用常见的“ls"命令就能方便的查找出来,如果知道了某个文件的文件名,而不知道这个文件放到哪个文件夹,甚至是层层套嵌的文件夹里。举例说明,假设你忘记了sshd_config(ssh服务器的配置文件)这个文件在系统的哪个目录下,甚至在系统的某个地方也不知道,则这是可以使用如下命令

find / -name sshd_config 

 这个命令语法看起来很容易就明白了,就是直接在find后面写上 -name,表明要求系统按照文件名查找,最后写上httpd.conf这个目标文件名即可。稍等一会系统会在计算机屏幕上显示出查找结果列表:

 #find / -name sshd_config

 /var/sadm/pkg/SUNWsshdr/save/pspool/SUNWsshdr/reloc/etc/ssh/sshd_config 

  /etc/ssh/sshd_config 

 如果输入以上查找命令后系统并没有显示出结果,那么不要以为系统没有执行find/ -name sshd_config 命令,而可能是你的系统中没有安装ssh服务器,这时只要你安装了ssh服务器,然后再使用find / -name sshd_config 就能找到这个配置文件了。 


服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。

重协商就是大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求重新协商,就会发起一次新的handshake,对新的安全参数达成一致

关闭命令:ssl renegotiation disable


远端rsh服务允许部分用户登录。需要禁止rsh服务

方法:

cat /.rhosts 查看是否有 + 号,意思是允许所有其他机器访问。 我们主要VI编辑将+去掉即可。(该配置文件,其做用就是控制访问IP)

因为RSH服务不能控制入访因此我们需要禁用内网所有主机的出访服务

禁用RSH出访服务 svcadm disable svc:/network/shell:default

禁用rlogin服务 svcadm disable svc:/network/login:rlogin


检测到远端rsh服务正在运行中。禁用RSH服务,改用SSH代替

方法:

1、vi /.rhosts 去掉其中的+号

2、vi /etc/default/login

CONSOLE=/dev/console 将这一行#注释掉。

因为RSH服务不能控制入访因此我们需要禁用内网所有主机的出访服务

3、禁用RSH出访服务 svcadm disable svc:/network/shell:default

4、禁用rlogin服务 svcadm disable svc:/network/login:rlogin


SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)

现场次漏洞只存在于服务器,后又发现此漏洞依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程

方法一 编辑: vi /etc/sysconfig/iptables

添加:-A INPUT -p tcp --dport 5989 -j DROP

-A INPUT -p tcp --sport 5989 -j DROP

重启网络服务:service iptables restart

方法二 根据netstat –tunlp|grep 5989 查找PID ,pwdxPID查看程序路径,如没问题则可以杀死此进程。


POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。

从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

修复措施:

禁用sslv3协议

不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器:

注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。

(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 

ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers  on;


apache服务器:

注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。

(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3

SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL

SSLHonorCipherOrder on


Tomcat服务器:

JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。

(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

clientAuth="false" sslProtocol="TLS"

ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

TLS_RSA_WITH_AES_128_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

TLS_RSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

SSL_RSA_WITH_3DES_EDE_CBC_SHA,

                        TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />


使用apr的tomcat(windows环境路径请使用“\”,证书文件是for apache压缩包中的三个文件)

maxThreads="150"

protocol="org.apache.coyote.http11.Http11AprProtocol"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

SSLEnabled="true"

SSLProtocol="all -SSLv2 -SSLv3"

SSLCertificateFile="conf/domian.com.crt"

SSLCertificateKeyFile="conf/domian.com.key"

SSLCertificateChainFile="conf/root_bundle.crt"

               SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />

你可能感兴趣的:(2019-07-15)