更改ssh、openssl、apache、php等软件版本提示信息

更改ssh、openssl、apache、php等软件版本提示信息2010-04-1116:38:45分类：以下方法对于应付检查系统安全的制表不治本的方法，建议大家还是升级软件到新的版本。1）更改openssl版本信息[root@nas~]#whereisopenssl#查找openssl位置openssl:/usr/bin/openssl/usr/include/openssl/usr/local/openssl/opt/openssl/bin/openssl/usr/share/man/man1/openssl.1ssl.gz[root@nas~]#ldd/usr/bin/openssl#openssl的版本信息存放在libcrypto.so中libssl.so.4=/lib/libssl.so.4(0x00b8e000)libgssapi_krb5.so.2=/usr/lib/libgssapi_krb5.so.2(0x00b55000)libkrb5.so.3=/usr/lib/libkrb5.so.3(0x00986000)libcom_err.so.2=/lib/libcom_err.so.2(0x00682000)libk5crypto.so.3=/usr/lib/libk5crypto.so.3(0x00b6b000)libresolv.so.2=/lib/libresolv.so.2(0x0083f000)libcrypto.so.4=/lib/libcrypto.so.4(0x00a6a000)libdl.so.2=/lib/libdl.so.2(0x007b4000)libz.so.1=/usr/lib/libz.so.1(0x007f3000)libc.so.6=/lib/tls/libc.so.6(0x00687000)/lib/ld-linux.so.2(0x00669000)[root@nas~]#ls-l/lib/libcrypto.so.4lrwxrwxrwx1rootroot19Feb232008/lib/libcrypto.so.4-libcrypto.so.0.9.7a[root@nas~]#[root@nas~]#ssh-V#显示openssl的版本OpenSSH_3.9p1,OpenSSL0.9.7aFeb192003[root@nas~]#cat/etc/issueRedHatEnterpriseLinuxASrelease4(NahantUpdate4)Kernel\ronan\m[root@nas~]#cp/lib/libcrypto.so.0.9.7a/lib/libcrypto.so.0.9.7a.bakcp:overwrite`/lib/libcrypto.so.0.9.7a.bak'?y[root@nas~]#sed-i's/0.9.7a/0.9.8j/g'/lib/libcrypto.so.0.9.7a#更改openssl的版本提示信息[root@nas~]#opensslversion#显示openssl的版本OpenSSL0.9.8jFeb1920032）更改ssh版本[root@localhostbin]#cpsshssh.bak[root@localhostbin]#sed-i's/OpenSSH_3.9p1/OpenSSH_4.0p1/g'ssh[root@localhostbin]#ssh-VOpenSSH_4.0p1,OpenSSL0.9.8jFeb192003[root@localhostbin]#更改ssh22端口telnet提示信息：[root@mail4~]#telnetlocalhost22Trying127.0.0.1...Connectedtolocalhost.localdomain(127.0.0.1).Escapecharacteris'^]'.SSH-1.99-OpenSSH_3.9p1cp/usr/sbin/sshd/usr/sbin/sshd.baksed-i's/OpenSSH_3.9p1/OpenSSH_4.0p1/g'/usr/sbin/sshd[root@mail4~]#telnetlocalhost22Trying127.0.0.1...Connectedtolocalhost.localdomain(127.0.0.1).Escapecharacteris'^]'.SSH-1.99-OpenSSH_4.0p13)隐藏apache和php的版本信息a)隐藏apache的版本信息：vi/var/eyou/apache/httpd.conf找到ServerTokens和ServerSignature改成如下（没有的话添加下面两行）ServerTokensProductOnlyServerSignatureOffb)隐藏php版本信息：/var/eyou/php/lib/php.iniexpose_phpOn改成expose_phpOff同样用sed可以更改apache的httpd显示版本：[root@nasbin]#strings./httpd|grep2.2.6Apache/2.2.6(Unix)Apache/2.2.6mod_ssl/2.2.6[root@nasbin]#sed-i's/2.2.6/2.2.8/g'httpd.bak[root@nasbin]#./htthttpdhttpd.bakhttxt2dbm[root@nasbin]#./httpd.bak-versionServerversion:Apache/2.2.8(Unix)Serverbuilt:Nov30200712:29:594）隐藏bind版本隐藏bind的版本信息如何隐藏bind版本信息修改/etc/named.conf，在named.conf文件里添加options{directory“/var/named”;version“[noaboutyourbusiness]“;};重起named服务，再查看5）nfs安全配置[root@nasbin]#nfsstat-n#显示nfsd的版本Servernfsv3:nullgetattrsetattrlookupaccessreadlink00%2596745119%6279920%130202319%1602276911%1900%readwritecreatemkdirsymlinkmknod5087711437%1360362710%42189783%198150%00%00%removermdirrenamelinkreaddirreaddirplus33760592%249210%2092430%32290%00%2755240%fsstatfsinfopathconfcommit1820%00%00%57579744%加强NFS安全的方法：1、合理的设定/etc/exports中共享出去的目录，最好能使用anonuid，anongid以使MOUNT到NFSSERVER的CLIENT仅仅有最小的权限，最好不要使用root_squash。2、使用IPTABLE防火墙限制能够连接到NFSSERVER的机器范围iptables-AINPUT-ieth0-pTCP-s10.0.0.0/24--dport111-jACCEPTiptables-AINPUT-ieth0-pUDP-s10.0.0.0/24--dport111-jACCEPT3、为了防止可能的Dos攻击，需要合理设定NFSD的COPY数目。linux中的NFSD的COPY数目是在/etc/rc.d/init.d/nfs这个启动文件中设置的，RPCNFSDCOUNT=8默认是8个NFSD,对于这个参数的设置一般是要根据可能的CLIENT数目来进行设定的，和WSIZE、RSIZE一样也是要通过测试来找到最近的数值。4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的/etc/hosts.allowportmap:10.0.0.0/255.255.255.0:allow/etc/hosts.denyportmap:ALL:deny