centos7 安全加固

PS：之前在进行安全测试的时候，说是报告环境有漏洞，于是根据报告的漏洞来查找相应的解决方案，当然，现在centos已经停止维护了，但是估计还是有不少使用的人，把他拿出来给大家一起分享一下解决方案

1.远程主机缺少“bpftool”的更新 -CESA-2020:5437

1.yum install bpftool 更新最难的bpftool
更新到最新的内核

2.远程主机缺少“glibc”的更新 CESA-2021:0348

yum install glibc

3.远程主机缺少对“perl”的更新。CESA-2021:0343

yum install perl

4.远程主机缺少“sudo”的更新 CESA-2021:0221

下载安装sudo sudo-1.9.5-3.el7.x86_64.rpm  解决

5.OpenSSL容易出现多个漏洞

wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz
tar -xf openssl-1.1.1g.tar.gz
cd openssl-1.1.1g/
./config --prefix=/usr/local/openssl

make -j 4 && make install

四、使用新版OpenSSL

# 查询旧版OpenSSL
rpm -qa | grep openssl
# 卸载旧版OpenSSL（--nodeps参数表示忽略依赖关系）
rpm -e openssl --nodeps
# 使用新版OpenSSL
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
# 添加函数库
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
# 更新函数库
ldconfig -v
# 检查新版OpenSSL
openssl version -a

6.远程主机上的Python版本已经达到生命周期(EOL)，并且不应该再使用了

下载最新的python,3.9.2 安装

7.bind:影响GSSAPI安全策略协商的SPNEGO实现缓冲区溢出问题(CVE-2020-8625)

更新yum install bind

8.wpa_supplicant包包含支持WEP、WPA、WPA2 (IEEE 802.11i / RSN)和各种EAP认证方法的802.1X Supplicant。他们与客户端工作站的WPA认证器进行密钥协商，并控制无线局域网驱动程序的漫游、IEEE 802.11认证和关联。

yum install wpa_supplicant