天天看點
傳回

linux漏洞修複軟體,linux漏洞修複_小白篇

linux漏洞修複,适用于一般檢測器檢測到的漏洞。cent os7.3,初窺門徑。

前提

Tomcat:

檢視版本号cd /usr/tomcat9/bin/;./version.sh

檢視服務狀态FastGateServer.sh status

配置檔案路徑tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xml

Httpd:

檢視版本号curl -i localhost:9999

檢視服務狀态systemctl status httpd.service

配置檔案路徑/etc/httpd/conf/httpd.conf

Nginx:

檢視版本号/usr/local/nginx/sbin/nginx -v

檢視服務狀态nginserver.sh status

配置檔案路徑/usr/local/nginx/conf/nginx.conf

漏洞修複

Tomcat:

1.隐藏版本資訊

a.找到tomcat安裝目錄下lib目錄下catalina.jar檔案,将該檔案拷貝并重命名為catalina.jar.bak作為備份

b. jar xf catalina.jar解壓catalina.jar包

cd org/apache/catalina/util/

vi ServerInfo.properties,修改為:

linux漏洞修複軟體,linux漏洞修複_小白篇

c. cd /usr/tomcat9/lib/

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties.壓縮修改後的catalina.jar包

cd /usr/tomcat9/bin/

./shutdown.sh

./startup.sh

./version.sh檢視是否已經修改成功

2.替換錯誤頁面

a.vi /usr/tomcat9/webapps/host-manager/WEB-INF/web.xml

b.在下指定的error-code指定一個固定的.jsp檔案,.jsp檔案自定義放在

某個路徑下即可

(操作見連結:https://blog.csdn.net/JustinQin/article/details/78879185)

3.修改http響應頭(使其不使用X-XSS-Protection、X-Frame-Options、X-Content-Options:nosniff)

a.vi tomcat/conf/web.xml

b.增加如下配置:

httpHeaderSecurity

org.apache.catalina.filters.HttpHeaderSecurityFilter

antiClickJackingOption

SAMEORIGIN

true

httpHeaderSecurity

/*

c.重新開機服務。再次F12檢視請求頭就可以看到請求頭對這三個漏洞已經做了限制

此漏洞總結:

X-XSS-Protection <===>設定X-XSS-Protection:1; mode=block

X-Frame-Options <===> 設定X-Frame-Options:SAMEORIGIN

X-Content-Options:nosniff <===>設定X-Content-Type-Options:nosniff

Httpd:

1.禁用Trace

a.vi /etc/httpd/conf/httpd.conf

b.在ServerRoot下添加配置:TraceEnable off

(操作見連結:https://blog.csdn.net/weixin_33881140/article/details/93106321)

2.删除預設的索引頁面

a.vi /etc/httpd/conf/httpd.conf

b.修改下的名稱

(操作見連結:https://www.cnblogs.com/elfsundae/archive/2010/12/14/1905942.html)

3.隐藏版本資訊

a.備份後打開配置檔案。

cp /usr/local/WebServer/apache/conf/httpd.conf  httpd.conf.bak

vi /usr/local/WebServer/apache/conf/httpd.conf

b.先确認一下檔案中有沒有如下配置項,如果沒有,就需要添加上去,有則修改成如下項。

ServerSignature Off

ServerTokens Prod

儲存修改,退出vi

killall httpd

/usr/local/WebServer/apache/bin/apachectl start

Nginx:

1.伺服器令牌

a. /usr/local/nginx/conf/nginx.conf

b.ttp塊中添加:server_tokens off

c.重新開機nginx服務

驗證:curl –I ocalhost:80

SSH:

1.弱加密算法

a.vi /etc/ssh/sshd_config

b.添加内容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)

c.service sshd restart重新開機服務

驗證:

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc

ssh -vv -oMACs=hmac-md5

2.CBC模式洩漏漏洞CVE-2008-5161

a.vi /etc/ssh/sshd_config,找到# Ciphers and keying

b.将# Ciphers and keying下的内容修改為iphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],[email protected],arcfour

c.重新開機ssh服務

版本替換

Tomcat版本替換

方法一:手動替換(先生成,再替換)

方法二:腳本替換

linux漏洞修複軟體
上一篇: the vtable symbol may be undefined because the class is missing its key function
下一篇: centos7 openssh版本更新(漏洞CVE-2018-15919,CVE-2017-15906修複)前言一、開啟telnet登入二、更新openssh-7.9pl