系统安全加固方案-5..docx

系统安全加固方案文档说明Apache漏洞1.1 漏洞清单序号漏洞信息影响范围1Apache htpasswd密码salt值生成不随机漏洞Apache HTTP Expect头选项跨站脚本执行漏洞(CVE-2006-3918)Apache HTTP Server mod_proxy Reverse代理模式安全限制绕过漏洞Apache HTTP Server mod_proxy_ajp拒绝服务漏洞Apache HTTP Server mod_proxy反向代理模式安全限制绕过漏洞Apache HTTP Server mod_status模块跨站脚本执行漏洞Apache HTTP Server拒绝服务漏洞Apache mod_deflate模块远程拒绝服务漏洞Apache mod_imap Referer 跨站脚本漏洞Apache mod_negotiation模块HTML注入及HTTP响应拆分漏洞Apache mod_proxy_ftp模块跨站脚本执行漏洞Apache mod_proxy反向代理拒绝服务漏洞Apache mod_proxy模块HTTP分块编码整数溢出漏洞Apache mod_rewrite模块单字节缓冲区溢出漏洞Apache Mod_SSL SSL_Util_UUEncode_Binary堆栈缓冲区溢出漏洞Apache Tomcat source.jsp目录遍历漏洞(CVE-2000-1210)Apache WWW服务器畸形HTTP方式413错误页面跨站脚本漏洞1; 2; 83; 84; 0; 1; ; ; 2; 2; 1; 3; 43; 44; 4; 69; 71;1.2 加固方案1.3 回退方案1.4 加固结果已加固openssh漏洞2.1 漏洞清单序号漏洞信息影响范围1OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755)OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)Openssh MaxAuthTries限制绕过漏洞(CVE-2015-5600)OpenSSH roaming_common.c堆缓冲区溢出漏洞(CVE-2016-0778)OpenSSH S/Key 远程信息泄露漏洞(CVE-2007-2243)OpenSSH sshd mm_answer_pam_free_ctx释放后重利用漏洞(CVE-2015-6564)OpenSSH sshd Privilege Separation Monitor 未明漏洞OpenSSH x11_open_helper()函数安全限制绕过漏洞(CVE-2015-5352)OpenSSH默认服务器配置拒绝服务漏洞(CVE-2010-5107)Portable OpenSSH GSSAPI远程代码执行漏洞(CVE-2006-5051)Portable OpenSSH GSSAPI远程代码执行漏洞(CVE-2008-4109)Portable OpenSSH ssh-keysign本地未授权访问漏洞】00; 01; ; 48;01;2.2 加固方案第一步准备安装包1.1、确定操作系统uname -alsb_release -a(suse)cat /etc/issue(redhat)1.2、将所需安装包上传到服务器zlib-1.2.8.tar.gzopenssl-1.0.1p.tar.gzopenssh-7.1p1.tar.gz相关下载：、、、//先把所有安装文件上传服务器，再卸载ssh，要不文件上传非常麻烦，在系统镜像中找到gcc安装包一并上传，大部分make失败都是gcc未安装或者安装不全造成。第二步准备好其他远程方式2.1、此项可选择telnet或者vnc来进行远程操作安装telnet服务，telnet安装rpm包对应操作系统ISO文件里面提取，建议不要跨操作系统版本安装，减少未知问题。vi /etc/xinetd.d/ekrb5-telnet disable = yes改成 no。service xinetd restartvi /etc/securetty加入pts/0pts/1pts/2pts/3vi /etc/pam.d/login文件注释掉：#auth [user_unknown=ignore success=ok ignore=ignore#auth_err=die default=bad] pam_securetty.so//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。第三步程序升级3.1、停止SSHD服务/sbin/service sshd stop (要确保sshd服务停止)3.2、备份启动脚本cp /etc/init.d/sshd /root/3.3、卸载系统里原有