天天看点
返回

linux漏洞修复软件,linux漏洞修复_小白篇

linux漏洞修复,适用于一般检测器检测到的漏洞。cent os7.3,初窥门径。

前提

Tomcat:

查看版本号cd /usr/tomcat9/bin/;./version.sh

查看服务状态FastGateServer.sh status

配置文件路径tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xml

Httpd:

查看版本号curl -i localhost:9999

查看服务状态systemctl status httpd.service

配置文件路径/etc/httpd/conf/httpd.conf

Nginx:

查看版本号/usr/local/nginx/sbin/nginx -v

查看服务状态nginserver.sh status

配置文件路径/usr/local/nginx/conf/nginx.conf

漏洞修复

Tomcat:

1.隐藏版本信息

a.找到tomcat安装目录下lib目录下catalina.jar文件,将该文件拷贝并重命名为catalina.jar.bak作为备份

b. jar xf catalina.jar解压catalina.jar包

cd org/apache/catalina/util/

vi ServerInfo.properties,修改为:

linux漏洞修复软件,linux漏洞修复_小白篇

c. cd /usr/tomcat9/lib/

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties.压缩修改后的catalina.jar包

cd /usr/tomcat9/bin/

./shutdown.sh

./startup.sh

./version.sh查看是否已经修改成功

2.替换错误页面

a.vi /usr/tomcat9/webapps/host-manager/WEB-INF/web.xml

b.在下指定的error-code指定一个固定的.jsp文件,.jsp文件自定义放在

某个路径下即可

(操作见链接:https://blog.csdn.net/JustinQin/article/details/78879185)

3.修改http响应头(使其不使用X-XSS-Protection、X-Frame-Options、X-Content-Options:nosniff)

a.vi tomcat/conf/web.xml

b.增加如下配置:

httpHeaderSecurity

org.apache.catalina.filters.HttpHeaderSecurityFilter

antiClickJackingOption

SAMEORIGIN

true

httpHeaderSecurity

/*

c.重启服务。再次F12查看请求头就可以看到请求头对这三个漏洞已经做了限制

此漏洞总结:

X-XSS-Protection <===>设置X-XSS-Protection:1; mode=block

X-Frame-Options <===> 设置X-Frame-Options:SAMEORIGIN

X-Content-Options:nosniff <===>设置X-Content-Type-Options:nosniff

Httpd:

1.禁用Trace

a.vi /etc/httpd/conf/httpd.conf

b.在ServerRoot下添加配置:TraceEnable off

(操作见链接:https://blog.csdn.net/weixin_33881140/article/details/93106321)

2.删除默认的索引页面

a.vi /etc/httpd/conf/httpd.conf

b.修改下的名称

(操作见链接:https://www.cnblogs.com/elfsundae/archive/2010/12/14/1905942.html)

3.隐藏版本信息

a.备份后打开配置文件。

cp /usr/local/WebServer/apache/conf/httpd.conf  httpd.conf.bak

vi /usr/local/WebServer/apache/conf/httpd.conf

b.先确认一下文件中有没有如下配置项,如果没有,就需要添加上去,有则修改成如下项。

ServerSignature Off

ServerTokens Prod

保存修改,退出vi

killall httpd

/usr/local/WebServer/apache/bin/apachectl start

Nginx:

1.服务器令牌

a. /usr/local/nginx/conf/nginx.conf

b.ttp块中添加:server_tokens off

c.重启nginx服务

验证:curl –I ocalhost:80

SSH:

1.弱加密算法

a.vi /etc/ssh/sshd_config

b.添加内容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)

c.service sshd restart重启服务

验证:

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc

ssh -vv -oMACs=hmac-md5

2.CBC模式泄漏漏洞CVE-2008-5161

a.vi /etc/ssh/sshd_config,找到# Ciphers and keying

b.将# Ciphers and keying下的内容修改为iphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],[email protected],arcfour

c.重启ssh服务

版本替换

Tomcat版本替换

方法一:手动替换(先生成,再替换)

方法二:脚本替换

linux漏洞修复软件
上一篇: the vtable symbol may be undefined because the class is missing its key function
下一篇: centos7 openssh版本升级(漏洞CVE-2018-15919,CVE-2017-15906修复)前言一、开启telnet登录二、升级openssh-7.9pl