真实服务器漏洞总结及修复方案

最新推荐文章于 2024-04-25 17:44:04 发布
最新推荐文章于 2024-04-25 17:44:04 发布
阅读量4k 收藏 13
点赞数 1
分类专栏: 总结 文章标签: 服务器 linux centos 云服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43735682/article/details/103623785
版权

真实服务器漏洞总结及修复方案

1、限制root权限用户远程登录

描述:限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。

修复方案:
1. 修改文件/etc/ssh/sshd_config配置      PermitRootLogin no
2. 重启sshd服务

2、Linux帐户口令生存期策略

描述:口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。

修复方案:修改文件  /etc/login.defs  ,配置
PASS_MAX_DAYS 90

参考:http://man7.org/linux/man-pages/man5/login.defs.5.html

3、MySQL 弱口令检测

描述:MySQL 采用弱口令容易被黑客猜解从而获取数据权限,导致数据被黑客偷窃、删除等;同时,黑客可能再基于数据库进一步获取系统权限。

修复方案:
1. 改用更复杂的密码,推荐字母、数字、特殊符号组合,长度高于 10 位;
2. 选择使用腾讯云 CDB。

4、Linux帐户超时自动登出配置

描述:配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。

修复方案:
修改/etc/profile文件,设置定时账户自动登出时间
export TMOUT=180
单位是秒

5、Linux未配置账户登录失败锁定策略

描述:设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。

修复方案:
设置连续输错5次口令,帐号锁定5分钟。
在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】

修复方案(仅供参考,请勿直接配置):
centos

修改配置/etc/pam.d/password-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so

ubuntu,debian:

修改配置/etc/pam.d/common-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
修改配置/etc/pam.d/common-account参数(将配置添加到合适的位置):
account required pam_tally2.so

补充说明:

执行 vi /etc/pam.d/login
在#%PAM-1.0 下新起一行,加入

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

如果不限制root用户,则可以写成

auth required pam_tally2.so deny=3 unlock_time=5

其中大概含义如下:
even_deny_root    也限制root用户;
deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;

参考:http://man7.org/linux/man-pages/man8/pam_tally2.8.html

6、未限制Nginx账户登录系统

描述:nginx帐户不应该具有登录的能力,防止nginx账户被恶意利用。

修复方案:
修改/etc/passwd配置文件中nginx用户的登录Shell字段,设置为:
/usr/sbin/nologin(debian,ubuntu)
/sbin/nologin(centos)

7、SSH监听在默认端口

描述:SSH监听在默认的22端口容易受到暴力破解攻击,修改为非默认端口可以提高系统的安全性

修复方案:
修改/etc/ssh/sshd_config配置文件中的端口字段配置(Port字段),并重启服务。

参考:https://linux.die.net/man/5/sshd_config

8、Linux口令过期后账号最长有效天数策略

描述: 设置口令过期后账号仍能保持有效的最大天数。默认是永久(-1)

修复方案:
编辑/etc/default/useradd文件,配置:
INACTIVE=365

9、PHP GD库处理GIF文件是存在DoS漏洞

描述:
PHP GD 库在处理 GIF 文件的时候存在一个 DoS 漏洞,会导致 PHP 处理图片时死循环占用 CPU。具体详情及验证 PoC 请访问参考链接。

修复方案:
1. Ubuntu、CentOS 官方暂未放出 Security Release,可以通过源码编译的方式升级版本。不受影响的版本为:5.6.33、7.0.27、7.1.13、7.2.1。
2. 如业务不需要 GD 库,则删除 GD 库扩展。
   rpm -qa | grep php-gd  查看php-gd库
   rpm -e php-gd-5.4.16-46.1.el7_7.x86_64    卸载php-gd库  名字可能不一样,根据上一条命令输出的名称版本替换

暂时只总结9个,后续会不定期的更新!

InsistChange
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器安全维护的七大方案
11-20 2370
服务器安全与否将决定着整个企业运营状况的良好,所以服务器管理员始终承受着莫大的压力。当我们谈论网络服务器安全的时候,总要谈到安全问题,很显然,服务器安全问题是不容忽视的。 你的计算机上是否存在有至关重要的数据,并且不希望它们落入恶人之手呢?当然,它们完全有这种可能。而且,近些年来,服务器遭受的风险也比以前更大了.越来越多的病毒,心怀不轨的黑客,以及那些商业间谍都将服务器作为了自己的目标.
服务器出现漏洞如何处理
q2827116259的博客
01-21 4883
1、从基本做起,及时安装系统补丁。 不管是什么操作系统,都是在更新中不断完善,都存在着漏洞,这些漏洞就是电脑被入侵的最 好通道,所以及时打补丁更新系统,防止被攻击利用,是服务器最重要的安全保证之一。 2、安装杀毒软件。 现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播 ,同时,在网络杀毒软件的使用中,必须要定期或及时升级杀毒软件,并且每天自动更新病毒 库。 防火墙是入侵者必须穿越的第一道防线,计算机所有流入流出的网络通信都要经过防火墙。防 火墙具有很好的保护作用,可以关闭
服务器网站漏洞怎么修复
最新发布
bocco的博客
04-25 428
服务器网站漏洞修复是一个关键且复杂的过程,涉及到多个层面的安全加固。以下是一个关于如何修复服务器网站漏洞的详细指南。安全狗专业做服务器安全,有任何服务器安全问题都可以找安全狗哦.
服务器漏洞需要修复吗,win10系统漏洞需不需要修复
weixin_39568233的博客
08-05 439
从Win10时代以来,系统都内置PDF阅读器WinRTPDF,这款应用对于用户来说帮助很大,无需再下载第三方PDF阅读器。然而这款应用所使用的渲染库也在系统内部通用,比如Edge浏览器在显示PDF文件时就会调用这个库,这种做法虽然方便,但最近发现的严重安全漏洞威胁也会因此波及到这款全新浏览器中。win10系统漏洞需不需要修复国外安全人员曾在Win10内置Edge浏览器中发现致命安全漏洞用户如果使...
服务器高危漏洞需要修复吗,Win10被曝新的HTTP协议高危漏洞:需安装KB5003173可彻底修复...
weixin_35813209的博客
08-05 2663
Win10又出现安全漏洞了,昨天安全研究人员在推特上公布Windows 10安全漏洞概念验证,此漏洞位于HTTP协议可远程触发。漏洞在被公布前已经通报给微软进行修复,微软在本月发布的累积更新中修复漏洞后研究人员才公布漏洞的细节。这枚漏洞的编号是CVE-2021-31166,用户需要安装最新的累积更新如KB5003173才可以将这枚漏洞彻底封堵。可远程执行进行恶意行为:研究人员公布的概念验证代码...
Linux系统升级openssh后登录pam_tally2.so计数不清零问题解决
空巢青年_rui的博客
07-24 6445
Linux系统pam_tally2登陆成功后失败计数不清零问题解决 问题描述 linux系统(影像版本包括centos6.x,centos7.x和ubuntu14.04、16.04、18.04等使用pam_tally2策略限制ssh登录失败次数的系统)的/etc/pam.d/sshd pam策论配置文件修改添加限制用户登录次数的策略: auth required pam_tally2.so onerr=fail deny=10 unlock_time=1800 even_deny_root root_u
浅析邮件服务器安全解决方案[整理].pdf
10-29
3. 定期更新与维护:保持邮件服务器软件的最新状态,定期打补丁,修复已知的安全漏洞。同时,定期进行安全审计,检查并优化配置。 4. 用户教育:提高用户安全意识,避免点击可疑链接,不轻易透露个人信息,减少因...
网络安全整体解决方案.pdf
10-13
9. 补丁管理:定期更新和打补丁是抵御新出现威胁的关键,通过快速响应漏洞修复,可以降低被攻击的风险。 10. 入侵防御:通过部署入侵防御系统,实时监测网络流量,识别并阻止恶意活动。 11. 数据库审计:对数据库...
机器人网络安全问题研究及响应方案
08-07
《机器人网络安全问题研究及响应方案》 随着机器人技术的飞速发展,特别是在智能制造领域的广泛应用,如富士康、亚马逊和西门子等企业所引领的工业机器人产业,网络安全问题日益凸显。工业机器人不仅在产品包装、...
NC65安全漏洞补丁.rar
06-08
经分析,漏洞真实存在,攻击者通过构造特定的 HTTP 请求,可以成功利用漏洞在目标服务器上执行任意命令,该漏洞风险极大,可能造成严重的信息泄露事件。鉴于漏洞利用的源代码已经公开,建议用户尽快修复漏洞。  2...
攻防演习防守技术方案.pptx
11-22
防守方需要确保应用网站安全漏洞、弱口令、默认口令现象严重、存在大量未修复的已知漏洞、应用中间件管理后台暴露、服务器互联网暴露等问题的解决。同时,安全防御体系化转变也需要推动安全加固、安全防护产品、SOC ...
Linux使用pam_tally2.so模块限制登录失败锁定时间
weixin_34021089的博客
04-24 4721
关于PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。 https://www.cnblogs.com/klb561/p/9236360.html #vi /etc/pam.d/system-auth 增加auth required pam_tally2.so deny=6 onerr=fail no...
服务器常见漏洞修复配置
胖子郁的博客
01-05 550
服务器常见漏洞修复
linux用户解锁pam_tally,多次登录失败用户被锁定及使用Pam_Tally2解锁
weixin_30979229的博客
04-28 6987
linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态...
用于运行Nginx的用户必须是一个没有系统特权(非root)的用户
rojanzhang的专栏
12-26 1589
规则描述: 使用特权用户运行不符合最小授权原则。如果Nginx应用存在安全漏洞(比如XSS、注入漏洞等),恶意代码的执行权限就只是运行Nginx的帐号权限。例如,如果Nginx是以root身份运行的,不巧Nginx应用存在注入漏洞或缓冲溢出漏洞(通常是使用了高危的字符串处理函数,而且对外部输入没有做有效的检查),被攻击者发现了,利用该漏洞注入或植入了恶意代码,并且成功的让CPU执行了这段恶意代码...
2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题(6)解析
PushSafe
05-27 721
2021年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (6) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
linux系统安全措施
ynyysn的博客
01-03 474
文章目录账号安全控制基本安全措施用户切换与提权(加入wheel组)su命令—切换用户PAM安全认证PAM概念开关机安全控制—grup2引导终端及登录控制系统弱口令检测-John the Ripper网络端口扫描总结 账号安全控制 基本安全措施 系统账号的清理 将非登录用户的Shell设为/sbin/nologin 在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有..
如何修复主机漏洞
山兔的博客
06-02 1053
先用mstsc远程连接服务器,然后在服务器中打开浏览器,搜索我们的漏洞修复方法,有补丁的就去官网打补丁,没有的就按照修复建议来,补丁打不上去的,就下载360来打,选择主机修复,选中有补丁的选项,一键修复 修复完之后,记得卸载,因为有弹窗,很让人讨厌 然后问下客户,服务器能不能重启,能得话,就重启,到时候在连上去看一下,情况,不能就算,就跟客户说一下,有些配置,要重启才能生效,看客户怎么想了......
【肥海豹】-网络安全等级保护(等保)-LINUX服务器配置
FAT_SEAL的博客
08-07 3443
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
SSH服务器支持的算法漏洞修复
05-16
这些算法可能存在漏洞,需要及时修复以确保服务器安全性。 以下是修复SSH服务器支持的算法漏洞的建议: 1. 禁用弱加密算法:SSH服务器支持多种加密算法,包括DES和RC4等。这些算法已经被证明存在漏洞,可以被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值