系统安全加固方案-5

1/34系统安全加固方案2/34文档说明3/341.Apache漏洞1.1漏洞清单序号漏洞信息影响范围1Apachehtpasswd密码salt值生成不随机漏洞ApacheHTTPExpect头选项跨站脚本执行漏洞(CVE-2006-3918)ApacheHTTPServermod_proxyReverse代理模式安全限制绕过漏洞ApacheHTTPServermod_proxy_ajp拒绝服务漏洞ApacheHTTPServermod_proxy反向代理模式安全限制绕过漏洞ApacheHTTPServermod_status模块跨站脚本执行漏洞ApacheHTTPServer拒绝服务漏洞Apachemod_deflate模块远程拒绝服务漏洞Apache'mod_imap'Referer跨站脚本漏洞Apachemod_negotiation模块HTML注入及HTTP响应拆分漏洞Apachemod_proxy_ftp模块跨站脚本执行漏洞Apachemod_proxy反向代理拒绝服务漏洞Apachemod_proxy模块HTTP分块编码整数溢出漏洞Apachemod_rewrite模块单字节缓冲区溢出漏洞ApacheMod_SSLSSL_Util_UUEncode_Binary堆栈缓冲区溢出漏洞ApacheTomcatsource.jsp目录遍历漏洞(CVE-2000-1210)Apache加固方案1.3回退方案1.4加固结果已加固2.openssh漏洞2.1漏洞清单序号漏洞信息影响范围1OpenSSHglob表达式拒绝服务漏洞(CVE-2010-4755)192.168.4.200;5/34OpenSSHJ-PAKE授权问题漏洞(CVE-2010-4478)OpensshMaxAuthTries限制绕过漏洞(CVE-2015-5600)OpenSSHroaming_common.c堆缓冲区溢出漏洞(CVE-2016-0778)OpenSSHS/Key远程信息泄露漏洞(CVE-2007-2243)OpenSSHsshdmm_answer_pam_free_ctx释放后重利用漏洞(CVE-2015-6564)OpenSSHsshdPrivilegeSeparationMonitor未明漏洞OpenSSH'x11_open_helper()'函数安全限制绕过漏洞(CVE-2015-5352)OpenSSH默认服务器配置拒绝服务漏洞(CVE-2010-5107)PortableOpenSSHGSSAPI远程代码执行漏洞(CVE-2006-5051)PortableOpenSSHGSSAPI远程代码执行漏洞(CVE-2008-4109)PortableOpenSSH'ssh-keysign'本地未授权访问漏洞】192.168.4.201;192.168.2.1;192.168.1.248;192.168.4.201;2.2加固方案第一步准备安装包1.1、确定操作系统uname-alsb_release-a(suse)cat/etc/issue(redhat)1.2、将所需安装包上传到服务器zlib-1.2.8.tar.gz6/34openssl-1.0.1p.tar.gzopenssh-7.1p1.tar.gz相关下载：、、、//先把所有安装文件上传服务器，再卸载ssh，要不文件上传非常麻烦，在系统镜像中找到gcc安装包一并上传，大部分make失败都是gcc未安装或者安装不全造成。第二步准备好其他远程方式2.1、此项可选择telnet或者vnc来进行远程操作安装telnet服务，telnet安装rpm包对应操作系统ISO文件里面提取，建议不要跨操作系统版本安装，减少未知问题。vi/etc/xinetd.d/ekrb5-telnetdisable=yes改成no。servicexinetdrestartvi/etc/securetty加入pts/0pts/1pts/2pts/37/34vi/etc/pam.d/login文件注释掉：#auth[user_unknown=ignoresuccess=okignore=ignore#auth_err=diedefault=bad]pam_securetty.so//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。第三步程序升级3.1、停止SSHD服务/sbin/servicesshdstop(要确保sshd服务停止)3.2、备份启动脚本cp/etc/init.d/sshd/root/3.3、卸载系统里原有Opensshrpm–qaopenssh//查询系统原安装的openssh包,全部卸载。rpm-eopenssh--nodepsrpm-eopenssh-server--nodepsrpm-eopenssh-clients--nodepsrpm-eopenssh-askpass3.4、解压安装zlib包：8/34tar-zxvfzlib-1.2.8.tar.gz//首先安装zlib库，否则会报zlib.c错误无法进行cdzlib-1.2.8./configuremake&&makeinstall//yumlist|gerpzlib先查看是否已经安装，已安装跳过这一步。无法编译安装，尝试安装如下yuminstall-ygccg++gcc-c++makeyum-yinstallzlib-devel3.5、解压安装openssl包：tar-zxvfopenssl-1.0.1p.tar.gzcdopenssl-1.0.1p./configsharedzlibmakemaketestmakeinstallmv/usr/bin/openssl/usr/bin/openssl.OFFmv/usr/include/openssl/usr/include/openssl.OFF9/34//该步骤可能提示无文件，忽略即可ln-s/usr/local/ssl/bin/openssl/usr/bin/opensslln-s/usr/local/ssl/include/openssl/usr/include/openssl//移走原先系统自带的openssl，将自己编译产生的新文件进行链接。3.6、配置库文件搜索路径echo/usr/local/ssl/lib/etc/ld.so.conf/sbin/ldconfig-vopensslversion-aOpenSSL1.0.1s19Mar2015builton:SatMar2104:11:472015platform:linux-x86_64options:bn(64,64)rc4(8x,int)des(idx,cisc,16,int)idea(int)blowfish(idx)compiler:gcc-I.-I..-I../include-fPIC-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-Wa,--noexecstack-m64-DL_ENDIAN-O3-Wall-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m-DSHA1_ASM-DSHA256_ASM-DSHA512_ASM-DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASMOPENSSLDIR:/usr/local/ssl10/34//以上是openssl安装成功后输出版本信息3.7、解压安装openssh包:先将将/etc/ssh的文件夹备份:mv/etc/ssh/etc/ssh_baktar-zxvfopenssh-7.1p1.tar.gzcdopenssh-7.1p1./configure--prefix=/usr--sysconfdir=/etc/ssh--with-zlib--with-ssl-dir=/usr/local/ssl--with-md5-passwords--mandir=/usr/share/manmakemakeinstallssh–VOpenSSH_7.1p2,OpenSSL1.0.1s1Mar20163.8、启动服务cp-pcontrib/redhat/sshd.init/etc/init.d/sshdcp–pcontrib/suse/rc.sshd/etc/init.d/sshd//其他版本操作系统具体查看contrib对应目录和readme。11/34chmod+x/etc/init.d/sshdchkconfig--addsshdcpsshd_config/etc/ssh/sshd_configcpsshd/usr/sbin/sshd10、验证是否成功servicesshdstartssh-VOpenSSH_7.1p1,OpenSSL1.0.1m19Mar2015此时可以尝试远程ssh进去服务器，如果能连，并查看验证日志信息等确认无误。查看ssh服务状态：//以下配置redhat略有不同,具体情况具体解决。/etc/init.d/sshdstatusCheckingforservicesshdunused状态不可用，ssh连接正常。pkillsshd杀掉sshd服务12/34servicesshdstart启动sshd服务servicesshdstatusCheckingforservicesshdrunning卸载telnet-serverrpm–etelnet-server客户端连接telnet失败。vi/etc/ssh/sshd_configPermitRootLoginyes2.3回退方案重新安装原版本，导入原来的配置2.4加固结果除192.168.1.41;192.168.1.42均已加固13/343.openssl漏洞3.1漏洞清单序号漏洞信息影响范围1OpenSSLASN.1多个解C34:C56-0543)OpenSSLASN.1多个解析安全漏洞(CVE-2003-0544)OpenSSLASN.1多个解析安全漏洞(CVE-2003-0545)OpenSSLASN1处理无效编码方式不当导致拒绝服务攻击漏洞(CVE-2002-0659)OpenSSLCBC错误信息泄露漏洞(CVE-2003-0078)OpenSSLChangeCipherSpecDTLS报文拒绝服务漏洞OpenSSLCMS/PKCS#7Decryption实现安全漏洞OpenSSLCMS结构处理内存破坏漏洞(CVE-2010-0742)OpenSSLdtls1_retrieve_buffered_fragment()函数握手消息拒绝服务漏洞OpenSSLECC密钥信息泄露漏洞(CVE-2011-4354)OpenSSLECDSA加密问题漏洞(CVE-2014-0076)OpenSSLEVP_VerifyFinal函数签名验证漏洞OpenSSLkssk_keytab_is_available()远程拒绝服务出漏洞OpenSSLOpenSSL实现加密问题漏(CVE-2008