真实服务器漏洞总结及修复⽅案
真实服务器漏洞总结及修复⽅案
1、限制root权限⽤户远程登录
描述:限制root权限远程登录。先以普通权限⽤户远程登录后,再切换到超级管理员权限账号后执⾏相应操作,可以提升系统安全性。
修复⽅案:
1. 修改⽂件/etc/ssh/sshd_config配置      PermitRootLogin no
2. 重启sshd服务
2、Linux帐户⼝令⽣存期策略
描述:⼝令⽼化(Password aging)是⼀种增强的系统⼝令⽣命期认证机制,能够确保⽤户的⼝令定期更换,提⾼系统安全性。
修复⽅案:修改⽂件  /etc/login.defs  ,配置
PASS_MAX_DAYS 90
3、MySQL 弱⼝令检测
描述:MySQL 采⽤弱⼝令容易被⿊客猜解从⽽获取数据权限,导致数据被⿊客偷窃、删除等;同时,⿊客可能再基于数据库进⼀步获取系统权限。
修复⽅案:
1. 改⽤更复杂的密码,推荐字母、数字、特殊符号组合,长度⾼于 10 位;
2. 选择使⽤腾讯云 CDB。
4、Linux帐户超时⾃动登出配置
描述:配置帐户超时⾃动登出,在⽤户输⼊空闲⼀段时间后⾃动断开。
修复⽅案:
修改/etc/profile⽂件,设置定时账户⾃动登出时间
export TMOUT=180
单位是秒
5、Linux未配置账户登录失败锁定策略
描述:设置账户登录失败锁定策略,加⼤⽤户⼝令被暴⼒破解的难度。linux修改口令的命令>google翻译怎么打开
修复⽅案:
设置连续输错5次⼝令,帐号锁定5分钟。
在进⾏此项安全加固⼯作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置⽂件。【注意:各系统配置不⼀,请根据当前系统进⾏适当配置,并仔细评估对系统的影响】
修复⽅案(仅供参考,请勿直接配置):
centos
修改配置/etc/pam.d/password-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
fragment软件
account required pam_tally2.so
ubuntu,debian:
修改配置/etc/pam.d/common-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
修改配置/etc/pam.d/common-account参数(将配置添加到合适的位置):
account required pam_tally2.so
补充说明:
执⾏ vi /etc/pam.d/login
在#%PAM-1.0 下新起⼀⾏,加⼊
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10
vivo多线程如果不限制root⽤户,则可以写成
auth required pam_tally2.so deny=3 unlock_time=5
其中⼤概含义如下:
java经典入门书籍even_deny_root    也限制root⽤户;
deny          设置普通⽤户和root⽤户连续错误登陆的最⼤次数,超过最⼤次数,则锁定该⽤户;
contourmatlabunlock_time        设定普通⽤户锁定后,多少时间后解锁,单位是秒;
root_unlock_time      设定root⽤户锁定后,多少时间后解锁,单位是秒;
6、未限制Nginx账户登录系统
描述:nginx帐户不应该具有登录的能⼒,防⽌nginx账户被恶意利⽤。
修复⽅案:
修改/etc/passwd配置⽂件中nginx⽤户的登录Shell字段,设置为:
/usr/sbin/nologin(debian,ubuntu)
/
sbin/nologin(centos)
7、SSH监听在默认端⼝
描述:SSH监听在默认的22端⼝容易受到暴⼒破解攻击,修改为⾮默认端⼝可以提⾼系统的安全性
修复⽅案:
修改/etc/ssh/sshd_config配置⽂件中的端⼝字段配置(Port字段),并重启服务。
8、Linux⼝令过期后账号最长有效天数策略
描述: 设置⼝令过期后账号仍能保持有效的最⼤天数。默认是永久(-1)
修复⽅案:
编辑/etc/default/useradd⽂件,配置:
INACTIVE=365
9、PHP GD库处理GIF⽂件是存在DoS漏洞
描述:
PHP GD 库在处理 GIF ⽂件的时候存在⼀个 DoS 漏洞,会导致 PHP 处理图⽚时死循环占⽤ CPU。具体详情及验证 PoC 请访问参考链接。
修复⽅案:
1. Ubuntu、CentOS 官⽅暂未放出 Security Release,可以通过源码编译的⽅式升级版本。不受影响的版本为:5.6.33、7.0.27、7.1.13、7.
2.1。
2. 如业务不需要 GD 库,则删除 GD 库扩展。
rpm -qa | grep php-gd  查看php-gd库
rpm -e php-gd-5.4.16-46.1.el7_7.x86_64    卸载php-gd库名字可能不⼀样,根据上⼀条命令输出的名称版本替换
暂时只总结9个,后续会不定期的更新!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。