漏洞修复-SSH版本信息可被获取漏洞

漏洞修复-SSH版本信息可被获取漏洞

  • 1、背景
  • 2、环境
  • 3、思路
  • 4、实操

1、背景

新分配下来的云服务,在没有投入生产环境之前,漏扫和安全防固是两项基本工作。云安全产品扫描过后导出的漏洞信息如下:
漏洞修复-SSH版本信息可被获取漏洞_第1张图片
漏洞详情:

威胁分值 : 0.0
危险插件 :否
发现日期 :1999-01-01
CVE编号 :CVE-1999-0634
CNCVE编号 :CNCVE-19990634

2、环境

序号 项目 版本
1 Linux CentOS 7.6.1810
2 OpenSSH 8.9

3、思路

漏洞原因:
SSH版本信息可以被获取,就是在ssh登陆对应主机的时候,登录过程中会暴露SSH的信息。

解决方案:
自定义Banner来代替系统默认的Banner,保证SSH信息不被泄露。

4、实操

1、创建新的文件

touch /etc/ssh/ssh_banner_change

2、写入自定义内容

echo "Welcome to ssh" > /etc/ssh/ssh_banner_change

3、修改配置

vi /etc/ssh/sshd_config

找到下图位置进行编辑,
漏洞修复-SSH版本信息可被获取漏洞_第2张图片

# no default banner path
# Banner none
Banner /etc/ssh/ssh_banner

漏洞修复-SSH版本信息可被获取漏洞_第3张图片

4、重启服务

systemctl restart sshd

5、查看状态

systemctl status sshd

通过查看服务的启动时间,判断重启服务的成功与否
漏洞修复-SSH版本信息可被获取漏洞_第4张图片

6、验证无误后,脚本化

#!/bin/bash
# ------------------------
# File Name  : bug_fix
# Create Date: 2023-09-06
# Descritpion:  
#  fix ssh version information
# ------------------------
if [ $UID -ne 0 ];then
    echo "please use root run this file"
else
    touch /etc/ssh/ssh_banner_change
    echo "Welcome to ssh" > /etc/ssh/ssh_banner_change
    sed -i "/#Banner none/a Banner /etc/ssh/ssh_banner_change" /etc/ssh/sshd_config
    systemctl restart sshd
fi

运行完毕查看ssh状态,重新扫描服务器验证此漏洞修复情况。
批量化修复搭配ansible工具的 script模块操作即可

你可能感兴趣的:(ssh,运维,漏洞修复)