【2024】Linux漏洞修复合集

已于 2024-03-14 19:07:57 修改
阅读量5.4k 收藏 37
点赞数 46
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: linux elasticsearch 运维
于 2024-01-03 15:21:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Slience_me/article/details/135362696

文章目录

1. 漏洞CVE-2022-23521、CVE-2022-41903

发现以下系统软件存在安全漏洞:
perl-Git-1.8.3.1-23.el7_8 版本低于 1.8.3.1-24.el7_9
git-1.8.3.1-23.el7_8 版本低于 1.8.3.1-24.el7_9
涉及漏洞:CVE-2022-23521、CVE-2022-41903
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:0978

根据提供的信息,您的系统软件存在两个安全漏洞(CVE-2022-23521和CVE-2022-41903),而要修复这些漏洞,您可以按照以下步骤进行更新:

  1. 更新软件包: 在这种情况下,您需要将perl-Git和git软件包更新到修复了这些漏洞的最新版本。在Red Hat系统上,您可以使用以下命令之一来更新软件包:

    sudo yum update perl-Git git

    或者

    sudo dnf update perl-Git git

    这将检查可用的更新并安装最新版本的perl-Git和git软件包,这两个软件包将被升级到修复漏洞的版本。

  2. 重启系统或相关服务: 在更新完成后,有时可能需要重新启动系统或相关服务,以确保新版本的软件包生效。

  3. 验证更新: 完成更新后,您可以通过检查软件包的版本信息来验证是否成功安装了修复了漏洞的版本。您可以使用以下命令来检查软件包的版本:

    rpm -q perl-Git git

    请确保版本号已更新到修复了漏洞的版本(例如,1.8.3.1-24.el7_9或更高版本)。

通过更新软件包,您将能够修复系统中存在的安全漏洞。强烈建议及时应用安全更新,以确保系统的安全性和稳定性。

2. 漏洞CVE-2022-0778

发现以下系统软件存在安全漏洞:
openssl-devel-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
openssl-libs-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
openssl-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
涉及漏洞:CVE-2022-0778
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:1066

要修复这些存在的CVE-2022-0778安全漏洞,您需要升级您系统上的OpenSSL软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新OpenSSL软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新OpenSSL软件包:

    sudo yum update openssl openssl-libs openssl-devel

    或者

    sudo dnf update openssl openssl-libs openssl-devel

    这将检查可用的更新并安装最新版本的OpenSSL软件包,将openssl、openssl-libs和openssl-devel升级到修复了漏洞的版本。

  2. 重启相关服务: 更新软件包后,建议重新启动依赖于OpenSSL的服务,以确保新版本的OpenSSL生效。您可以考虑重新启动与网络通信或安全相关的服务,例如Web服务器(如Apache或Nginx)、邮件服务(如Postfix)、VPN等。

  3. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的OpenSSL是否已成功安装:

    rpm -q openssl openssl-libs openssl-devel

    确保版本号已更新到修复了CVE-2022-0778漏洞的版本(例如,1.0.2k-25.el7_9或更高版本)。

通过更新OpenSSL软件包,您将能够修复系统中存在的CVE-2022-0778安全漏洞。及时应用安全更新对于确保系统的安全性至关重要。

3. 漏洞CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315

发现以下系统软件存在安全漏洞:
expat-2.1.0-12.el7 版本低于 2.1.0-14.el7_9
expat-devel-2.1.0-12.el7 版本低于 2.1.0-14.el7_9
涉及漏洞:CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:1069

要修复这些涉及到的多个CVE安全漏洞,您需要升级您系统上的expat和expat-devel软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新expat软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新expat软件包:

    sudo yum update expat expat-devel

    或者

    sudo dnf update expat expat-devel

    这将检查可用的更新并安装最新版本的expat和expat-devel软件包,将其升级到修复了CVE漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的expat是否已成功安装:

    rpm -q expat expat-devel

    确保版本号已更新到修复了提到的CVE漏洞的版本(例如,2.1.0-14.el7_9或更高版本)。

通过更新expat和expat-devel软件包,您将能够修复系统中存在的多个CVE安全漏洞。记得及时应用安全更新以确保系统的安全性。

4. 漏洞:CVE-2022-29154

发现以下系统软件存在安全漏洞:
rsync-3.1.2-10.el7 版本低于 3.1.2-11.el7_9
涉及漏洞:CVE-2022-29154
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:6170

要修复涉及到的CVE-2022-29154安全漏洞,您需要升级您系统上的rsync软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新rsync软件包: 在您的Red Hat系统上,您可以使用以下命令来更新rsync软件包:

    sudo yum update rsync

    或者

    sudo dnf update rsync

    这将检查可用的更新并安装最新版本的rsync软件包,将其升级到修复了CVE-2022-29154漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的rsync是否已成功安装:

    rpm -q rsync

    确保版本号已更新到修复了CVE-2022-29154漏洞的版本(例如,3.1.2-11.el7_9或更高版本)。

通过更新rsync软件包,您将能够修复系统中存在的CVE-2022-29154安全漏洞。务必及时应用安全更新以确保系统的安全性。

5. 漏洞:CVE-2023-24329

发现以下系统软件存在安全漏洞:
python3-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
python3-devel-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
python3-libs-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
涉及漏洞:CVE-2023-24329
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:3556

要修复涉及到的CVE-2023-24329安全漏洞,您需要升级您系统上的Python3相关软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新Python3相关软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新Python3相关软件包:

    sudo yum update python3 python3-devel python3-libs

    或者

    sudo dnf update python3 python3-devel python3-libs

    这将检查可用的更新并安装最新版本的Python3软件包,将python3、python3-devel和python3-libs升级到修复了CVE-2023-24329漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的Python3相关软件包是否已成功安装:

    rpm -q python3 python3-devel python3-libs

    确保版本号已更新到修复了CVE-2023-24329漏洞的版本(例如,3.6.8-19.el7_9或更高版本)。

通过更新Python3相关软件包,您将能够修复系统中存在的CVE-2023-24329安全漏洞。务必及时应用安全更新以确保系统的安全性。

6. 漏洞:CVE-2023-24329

发现以下系统软件存在安全漏洞:
python-libs-2.7.5-90.el7 版本低于 2.7.5-93.el7_9
python-2.7.5-90.el7 版本低于 2.7.5-93.el7_9
涉及漏洞:CVE-2023-24329
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:3555

要修复涉及到的CVE-2023-24329安全漏洞,您需要升级您系统上的Python相关软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新Python相关软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新Python相关软件包:

    sudo yum update python python-libs

    或者

    sudo dnf update python python-libs

    这将检查可用的更新并安装最新版本的Python软件包,将python和python-libs升级到修复了CVE-2023-24329漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的Python相关软件包是否已成功安装:

    rpm -q python python-libs

    确保版本号已更新到修复了CVE-2023-24329漏洞的版本(例如,2.7.5-93.el7_9或更高版本)。

通过更新Python相关软件包,您将能够修复系统中存在的CVE-2023-24329安全漏洞。务必及时应用安全更新以确保系统的安全性。

7. 漏洞:CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698

发现以下系统软件存在安全漏洞:
microcode_ctl-2.1-73.4.el7_9 版本低于 2.1-73.11.el7_9
涉及漏洞:CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:3028

要修复涉及到的多个CVE安全漏洞,您需要升级您系统上的microcode_ctl软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新microcode_ctl软件包: 在您的Red Hat系统上,您可以使用以下命令来更新microcode_ctl软件包:

    sudo yum update microcode_ctl

    或者

    sudo dnf update microcode_ctl

    这将检查可用的更新并安装最新版本的microcode_ctl软件包,将其升级到修复了涉及到的CVE漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的microcode_ctl是否已成功安装:

    rpm -q microcode_ctl

    确保版本号已更新到修复了涉及到的CVE漏洞的版本(例如,2.1-73.11.el7_9或更高版本)。

通过更新microcode_ctl软件包,您将能够修复系统中存在的多个CVE安全漏洞。务必及时应用安全更新以确保系统的安全性。

8. 漏洞:CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513

发现以下系统软件存在安全漏洞:
microcode_ctl-2.1-73.4.el7_9 版本低于 2.1-73.9.el7_9
涉及漏洞:CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:2305

要修复涉及到的多个CVE安全漏洞,您需要升级您系统上的microcode_ctl软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新microcode_ctl软件包: 在您的Red Hat系统上,您可以使用以下命令来更新microcode_ctl软件包:

    sudo yum update microcode_ctl

    或者

    sudo dnf update microcode_ctl

    这将检查可用的更新并安装最新版本的microcode_ctl软件包,将其升级到修复了涉及到的CVE漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的microcode_ctl是否已成功安装:

    rpm -q microcode_ctl

    确保版本号已更新到修复了涉及到的CVE漏洞的版本(例如,2.1-73.9.el7_9或更高版本)。

通过更新microcode_ctl软件包,您将能够修复系统中存在的多个CVE安全漏洞。务必及时应用安全更新以确保系统的安全性。

9. 漏洞:CVE-2020-8625

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.4
涉及漏洞:CVE-2020-8625
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:0671

要修复涉及到的CVE-2020-8625安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

    sudo yum update bind-export-libs

    或者

    sudo dnf update bind-export-libs

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2020-8625漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

    rpm -q bind-export-libs

    确保版本号已更新到修复了CVE-2020-8625漏洞的版本(例如,9.11.4-26.P2.el7_9.4或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2020-8625安全漏洞。务必及时应用安全更新以确保系统的安全性。

10. 漏洞:CVE-2023-2828

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.14
涉及漏洞:CVE-2023-2828
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:4152

要修复涉及到的CVE-2023-2828安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

    sudo yum update bind-export-libs

    或者

    sudo dnf update bind-export-libs

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2023-2828漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

    rpm -q bind-export-libs

    确保版本号已更新到修复了CVE-2023-2828漏洞的版本(例如,9.11.4-26.P2.el7_9.14或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2023-2828安全漏洞。务必及时应用安全更新以确保系统的安全性。

11. 漏洞:CVE-2021-25215

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.5
涉及漏洞:CVE-2021-25215
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:1469

要修复涉及到的CVE-2021-25215安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

    sudo yum update bind-export-libs

    或者

    sudo dnf update bind-export-libs

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2021-25215漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

    rpm -q bind-export-libs

    确保版本号已更新到修复了CVE-2021-25215漏洞的版本(例如,9.11.4-26.P2.el7_9.5或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2021-25215安全漏洞。务必及时应用安全更新以确保系统的安全性。

12. 漏洞:CVE-2023-3341

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.15
涉及漏洞:CVE-2023-3341
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:5691

要修复涉及到的CVE-2023-3341安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

    sudo yum update bind-export-libs

    或者

    sudo dnf update bind-export-libs

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2023-3341漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

    rpm -q bind-export-libs

    确保版本号已更新到修复了CVE-2023-3341漏洞的版本(例如,9.11.4-26.P2.el7_9.15或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2023-3341安全漏洞。务必及时应用安全更新以确保系统的安全性。

13. 漏洞:CVE-2022-38177、CVE-2022-38178

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.10
涉及漏洞:CVE-2022-38177、CVE-2022-38178
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:6765

要修复涉及到的CVE-2022-38177和CVE-2022-38178安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

    sudo yum update bind-export-libs

    或者

    sudo dnf update bind-export-libs

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2022-38177和CVE-2022-38178漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

    rpm -q bind-export-libs

    确保版本号已更新到修复了CVE-2022-38177和CVE-2022-38178漏洞的版本(例如,9.11.4-26.P2.el7_9.10或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2022-38177和CVE-2022-38178安全漏洞。务必及时应用安全更新以确保系统的安全性。

14. 漏洞:CVE-2018-25032

发现以下系统软件存在安全漏洞:
zlib-1.2.7-19.el7_9 版本低于 1.2.7-20.el7_9
zlib-devel-1.2.7-19.el7_9 版本低于 1.2.7-20.el7_9
涉及漏洞:CVE-2018-25032
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:2213

要修复涉及到的CVE-2018-25032安全漏洞,您需要升级系统上的zlib和zlib-devel软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新zlib和zlib-devel软件包: 在您的Red Hat系统上,您可以使用以下命令来更新这两个软件包:

    sudo yum update zlib zlib-devel

    或者

    sudo dnf update zlib zlib-devel

    这将检查可用的更新并安装最新版本的zlib和zlib-devel软件包,将其升级到修复了CVE-2018-25032漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的zlib和zlib-devel是否已成功安装:

    rpm -q zlib zlib-devel

    确保版本号已更新到修复了CVE-2018-25032漏洞的版本(例如,1.2.7-20.el7_9或更高版本)。

通过更新zlib和zlib-devel软件包,您将能够修复系统中存在的CVE-2018-25032安全漏洞。务必及时应用安全更新以确保系统的安全性。

15. SSH 登录超时配置检测

风险描述
未启用SSH登录超时配置

解决方案
1、在【/etc/ssh/sshd_config】文件中设置【LoginGraceTime】为60

温馨提示
将LoginGraceTime参数设置为一个较小的数字将最大限度地降低对SSH服务器成功进行暴力破解的风险。它还将限制并发的未经身份验证的连接数量。

sudo vim /etc/ssh/sshd_config
/LoginGraceTime 回车全局搜索
修改即可

16. 检查是否设置无操作超时退出

风险描述
未配置命令行超时退出

解决方案
1、在文件【/etc/profile】中添加tmout=300,等保要求不大于600秒
2、执行命令source /etc/profile使配置生效

温馨提示
此方案会使服务器命令行超过一定时间未操作自动关闭,可以加强服务器安全性。

17. 检查是否允许空密码sudo提权

风险描述
以下sudo文件存在NOPASSWD标记:【/etc/sudoers】

解决方案
1、打开/etc/sudoers或是/etc/sudoers.d下的文件
2、删除或注释【NOPASSWD】标记所在行

温馨提示
当sudo使用【NOPASSWD】标记时,允许用户使用sudo执行命令,而无需进行身份验证。这种不安全的配置可能导致黑客夺取服务器的高级权限。

18. 用户FTP访问安全配置检查

风险描述
当前pure-ftpd未配置安全访问,在【pure-ftpd.conf】文件中修改/添加Umask的值为177:077

解决方案
1、在【/www/server/pure-ftpd/etc/pure-ftpd.conf】在配置文件中修改Umask的值为177:077

温馨提示
此方案可以增强对FTP服务器的防护,降低服务器被入侵的风险

19. 检查重要文件是否存在suid和sgid权限

风险描述
以下文件存在sid特权,chmod u-s或g-s去除sid位:"/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport"

解决方案
1、使用chmod u-s/g-s 【文件名】命令修改文件的权限

温馨提示
此方案去除了重要文件的特殊权限,可以防止入侵者利用这些文件进行权限提升。

sudo chmod u-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport
sudo chmod g-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport

20. SSH密码复杂度检查

风险描述
【/etc/security/pwquality.conf】文件中把minclass设置置为3或者4

解决方案
1、【/etc/security/pwquality.conf】 把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:
2、minclass=3

温馨提示
此方案加强服务器登录密码的复杂度,降低被爆破成功的风险。

21. 检测PHP是否关闭错误提示

风险描述
未关闭错误信息提示的PHP版本有:5.6

解决方案
1、根据风险描述,在【软件商店】-【运行环境】找到对应版本的PHP插件,在【配置修改】页面,将display_errors设置为关闭并保存

温馨提示
PHP错误提示可能会泄露网站程序的敏感信息;此方案通过关闭【display_errors】选项,防止网站信息泄露。

22. SSH 空闲超时时间检测

风险描述
当前SSH空闲超时时间为:0,请设置为600-900

解决方案
1、在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600到900之间
2、提示:SSH空闲超时时间建议为:600-900

温馨提示
此方案可以增强SSH服务的安全性,修复后连接SSH长时间无操作会自动退出,防止被他人利用。

23. 未使用安全套接字加密远程管理ssh

风险描述
未使用安全套接字加密远程管理ssh

解决方案
1、在【/etc/ssh/sshd_config】文件中添加或修改Protocol 2
2、随后执行命令systemctl restart sshd重启进程

温馨提示
此方案可以增强对SSH通信的保护,避免敏感数据泄露。

你可以使用文本编辑器来添加或修改 /etc/ssh/sshd_config 文件中的 Protocol 选项,将其设置为使用 SSH 协议版本 2。在大多数情况下,SSH 默认使用协议版本 2,但如果你需要明确设置或更改,可以按照以下步骤操作:

  1. 打开终端或 SSH 连接,并以具有管理员权限的用户身份登录到系统中。

  2. 使用文本编辑器(例如 nanovimgedit)打开 /etc/ssh/sshd_config 文件。例如,在终端中使用 nano 编辑器:

sudo nano /etc/ssh/sshd_config
  1. 找到 Protocol 行(如果不存在,请在文件末尾添加),确保其指定的协议为 2。如果有行注释(以 # 开头),请删除注释符号 # 并确保行中的协议设置正确。如果没有找到 Protocol 行,则可以手动添加:
Protocol 2

  1. 保存更改(在 nano 中使用 Ctrl + O,然后按 Enter 键,然后使用 Ctrl + X 来退出 nano 编辑器)。

  2. 重新加载 SSH 服务以使更改生效。你可以执行以下命令来重新加载 SSH 服务:

sudo systemctl reload sshd

这样,SSH 服务器将使用协议版本 2 进行连接。确保在更改配置文件后测试 SSH 连接,以确保一切正常工作。

23. 检测是否限制密码重复使用次数

风险描述
未限制密码重复使用次数

解决方案
1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5

温馨提示
此方案通过限制登录密码重复使用次数,加强服务器访问控制保护。

类似这样

password sufficient pam_unix.so remember=5

24. 检查SSH密码修改最小间隔

风险描述
【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7

解决方案
1、【/etc/login.defs】 PASS_MIN_DAYS 应设置为大于等于7
2、PASS_MIN_DAYS 7 需同时执行命令设置root 密码失效时间 命令如下: chage --mindays 7 root

温馨提示
此方案是设置SSH登录密码修改后,多少天之内无法再次修改。

直接执行

chage --mindays 7 root

25. 漏洞:CVE-2023-3899

发现以下系统软件存在安全漏洞:
subscription-manager-rhsm-certificates-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
subscription-manager-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
subscription-manager-rhsm-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
python-syspurpose-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
涉及漏洞:CVE-2023-3899
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:4701

要修复涉及到的CVE-2023-3899安全漏洞,您需要升级系统上的以下软件包到修复了这个漏洞的最新版本:subscription-manager-rhsm-certificates、subscription-manager、subscription-manager-rhsm和python-syspurpose。以下是修复步骤:

  1. 更新软件包: 在您的系统上,您可以使用以下命令来更新这些软件包:

    sudo yum update subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose

    或者

    sudo dnf update subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose

    这将检查可用的更新并安装最新版本的这些软件包,将其升级到修复了CVE-2023-3899漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的这些软件包是否已成功安装:

    rpm -q subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose

    确保版本号已更新到修复了CVE-2023-3899漏洞的版本(例如,1.24.52-2.el7_9或更高版本)。

通过更新这些软件包,您将能够修复系统中存在的CVE-2023-3899安全漏洞。务必及时应用安全更新以确保系统的安全性。

26. 漏洞:CVE-2020-25692

发现以下系统软件存在安全漏洞:
openldap-2.4.44-22.el7 版本低于 2.4.44-23.el7_9
涉及漏洞:CVE-2020-25692
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:1389

要修复涉及到的CVE-2020-25692安全漏洞,您需要升级系统上的openldap软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新openldap软件包: 在您的Red Hat系统上,您可以使用以下命令来更新openldap软件包:

    sudo yum update openldap

    或者

    sudo dnf update openldap

    这将检查可用的更新并安装最新版本的openldap软件包,将其升级到修复了CVE-2020-25692漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的openldap是否已成功安装:

    rpm -q openldap

    确保版本号已更新到修复了CVE-2020-25692漏洞的版本(例如,2.4.44-23.el7_9或更高版本)。

通过更新openldap软件包,您将能够修复系统中存在的CVE-2020-25692安全漏洞。务必及时应用安全更新以确保系统的安全性。

27. 设置ssh登录白名单

风险描述
未设置ssh登录白名单

解决方案
1、在【/etc/hosts.deny】添加ALL:ALL
2、在【/etc/hosts.allow】添加sshd:【来访者IP地址】

温馨提示
此方案会阻挡除白名单以外的其余IP登录服务器,增强服务器的安全防护。注意此方案存在风险,修复之前一定要确保已添加可访问服务器的IP。
Linux/UNIX最新十大安全漏洞
12-24
SANS(SysAdmin audit Network Security,系统管理和网络安全审计委员会,这是一个由政府,企业和学术专家组成的安全研究和教育机构)和FBI(Federal Bureau of Investigation,美国联邦调查局)又一次合作发布IT安全漏洞列表的更新版本,这些安全漏洞在他们看来最容易被人利用。
node.js漏洞——
m0_73756016的博客
06-06 1416
简单的说 Node.js 就是运行在服务端的 JavaScript。Node.js 是一个基于 Chrome JavaScript 运行时建立的一个平台。Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境,基于 Google 的 V8 引擎,V8 引擎执行 Javascript 的速度非常快,性能非常好。总结一下我觉得node.js就是提供一个JavaScript环境 使这个语言升级 可以写一些后端的东西直接做题学习。
银河麒麟桌面操作系统V10 SP1修复CVE 安全漏洞清单
最新发布
RZer的博客
06-19 1221
银河麒麟桌面操作系统V10 SP1修复CVE 安全漏洞清单
下载量达数百万次的NodeJS 模块被曝代码注入漏洞
smellycat000的专栏
08-05 1060
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队一个下载量达数百万次的Node.js模块中被指存在一个安全缺陷,可导致攻击者在服务器上执行拒绝服务攻击或者获得完整的远程...
Node.js 常见漏洞学习与总结
lastwinn的博客
02-06 2216
记录自己的所学以及理解
命令注入漏洞原理以及修复方法
it知识分享 free for nothing..
02-02 1467
命令注入漏洞原理以及修复方法
ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 linux 7
04-09
ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux ...
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
07-04
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
Rocky Linux 9 系统OpenSSH CVE-2024-6387 漏洞修复
水布天
07-03 2268
Rocky Linux9 OpenSSH CVE-2024-6387漏洞修复 在线离线环境下的修复方法
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
Linux openssh漏洞修复.docx
02-28
通过上述内容的详细介绍,我们了解到Linux系统漏洞的成因、表现及其带来的安全威胁,特别是OpenSSH的安全漏洞修复步骤,以及在升级过程中可能遇到的问题和相应的解决方法。对于Linux系统管理员而言,了解这些内容...
linux系统漏洞加固
04-18
一. 账号口令 1.1 检查设备密码复杂度策略(高危) 1.2 检查口令最小长度(高危) 1.3 检查是否设置口令更改最小间隔天数(高危) 1.4 检查是否设置口令生存周期(高危) 1.5 检查是否设置口令过期前警告天数(高危) 1.6 检查是否存在空口令账号(高危) 1.7 检查是否设置除root之外UID为0的用户(中危) 二. 认证授权 2.1 检查用户目录缺省访问权限设置(高危) 2.2 检查用户umask设置(中危) 2.3 检查重要文件属性设置(中危) 2.4 检查重要目录或文件权限设置(中危) 2.5 检查是否设置ssh登录前警告Banner(低危) 三. 日志审计 3.1 检查是否对登录进行日志记录(高危) 3.2 检查是否启用cron行为日志功能(低危) 3.3 检查是否配置su命令使用情况记录(低危) 3.4 检查日志文件是否非全局可写(低危) 3.5 检查安全事件日志配置(低危) 3.6 检查是否记录用户对设备的操作(低危) 3.7 检查是否配置远程日志功能(低危) 四. 协议安全 4.1 检查是否禁止root用户远程登录(高危) 4.2 检查是否禁止匿名用户登录FTP(高危) 4.3 检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议(高危) 4.4 检查是否修改snmp默认团体字(中危) 4.5 检查系统openssh安全配置(中危) 4.6 检查是否禁止root用户登录FTP(中危) 五. 其他安全 5.1 检查是否使用PAM认证模块禁止wheel组之外的用户su为root(高危) 5.2 检查是否设置命令行界面超时退出(高危) 5.3 检查是否关闭不必要的服务和端口(高危) 5.4 检查是否关闭系统信任机制(高危) 5.5 检查是否删除了潜在危险文件(高危) 5.6 检查系统core dump设置(中危) 5.7 检查root用户的path环境变量(中危) 5.8 检查系统是否禁用ctrl+alt+del组合键(中危) 5.9 检查密码重复使用次数限制(中危) 5.10 检查是否配置用户所需最小权限(中危) 5.11 检查系统内核参数配置(中危) 5.12 检查FTP用户上传的文件所具有的权限(低危) 5.13 检查/usr/bin/目录下可执行文件的拥有者属性(低危) 5.14 检查是否按用户分配账号(低危) 5.15 检查历史命令设置(低危) 5.16 检查系统磁盘分区使用率(低危) 5.17 检查日志文件权限设置(低危) 5.18 检查是否设置系统引导管理器密码(低危) 5.19 检查是否限制FTP用户登录后能访问的目录(低危) 5.20 检查是否设置ssh成功登录后Banner(低危) 5.21 检查是否使用NTP(网络时间协议)保持时间同步(低危) 5.22 检查是否关闭IP伪装和绑定多IP功能(低危) 5.23 检查是否限制远程登录IP范围(低危) 5.24 检查NFS(网络文件系统)服务配置(低危) 5.25 检查拥有suid和sgid权限的文件(低危) 5.26 检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)(低危) 5.27 检查是否安装chkrootkit进行系统监测(低危) 5.28 检查是否对系统账号进行登录限制(低危) 5.29 检查是否禁用不必要的系统服务(低危) 5.30 检查别名文件/etc/aliase(或/etc/mail/aliases)配置(低危) 5.31 检查账户认证失败次数限制(低危) 5.32 检查telnet Banner 设置(低危) 5.33 检查FTP Banner设置(低危) 5.34 检查是否关闭数据包转发功能(适用于不做路由功能的系统)(低危) 5.35 检查是否安装OS补丁(低危) 5.36 检查是否按组进行账号管理(低危) 5.37 检查是否删除与设备运行、维护等工作无关的账号(低危)
j link linux内核_Linux本地内核提权漏洞(CVE-2019-13272)
weixin_39849894的博客
12-21 200
0x00 简介2019年07月20日,Linux正式修复了一个本地内核提权漏洞。通过此漏洞,攻击者可将普通权限用户提升为Root权限。0x01 漏洞概述当调用PTRACE_TRACEME时,ptrace_link函数将获得对父进程凭据的RCU引用,然后将该指针指向get_cred函数。但是,对象struct cred的生存周期规则不允许无条件地将RCU引用转换为稳定引用。PTRACE_TRACEM...
史上最全网络安全站点集合
2301_80115097的博客
10-18 2683
https://github.com/secretsquirrel/the-backdoor-factory/(the-backdoor-factory项目)whois,whois查询,whois信息查询,whois查询工具,whois实时查询,域名查询工具,域名注册信息查询 - T00ls(t00ls工具)Focus on network security!https://github.com/HarmJ0y/Malleable-C2-Profiles(Malleable-C2-Profiles项目)
Nodejs 常见漏洞
snowlyzz的博客
07-11 1891
nodejs漏洞
NODEJS 简单的三个漏洞
E1even的博客
03-15 1556
NODEJS 1.toUpperCase: toUpperCase这个函数有个特点: 字符ı、ſ 经过toUpperCase()处理后结果为 I、S 字符K经过toLowerCase()处理后结果为k 利用特点(例题1): CTFSHOW: 一个登录页面啥也不是,关键在于题目给了我们压缩包。 打开之后: login.txt: var express = require('express'); var router = express.Router(); var users = require('../mod
Linux漏洞曝光,居然又双叒是提升权限漏洞
CSDN资讯
03-11 2278
整理 | 丁广辉 责编 | 张红月出品 | CSDN(ID:CSDNnews)近一段时间关于Linux中提权漏洞的消息就一直没停过,早在去年7月份Linux就被爆出存在一个权限...
NodeJS代码审计中常见的漏洞(三)
武天旭的博客
03-04 4015
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 基于DOM的XSS 2 跨站脚本XSS 3 密码安全 4 弱加密算法 5 密钥长度不足 6 表单中存在密码 7 数据存储传递 8 日志伪造 9 进程控制 10 服务器端模板注入 1、基于DOM的XSS 详细信息 应
cve-2024
03-12
### CVE-2024系列安全漏洞详情 #### VMware vCenter 高危漏洞 (CVE-2024-38812, CVE-2024-38813) VMware vCenter Server 和 VMware Cloud Foundation 存在两个新的高危漏洞,分别是 CVE-2024-38812 和 CVE-2024-38813。这些漏洞涉及堆溢出和权限提升问题,CVSS评分为9.8,表明其具有极高的风险等级[^1]。 对于受影响的产品版本: - **vCenter Server**: 版本 7.x 及更早版本受到影响。 - **Cloud Foundation**: 同样适用于相同的主要版本及其之前的次要更新。 攻击者可能利用这两个漏洞执行远程代码或获得更高权限的操作环境,从而完全控制目标系统。 ```bash # 检查当前安装的vCenter版本号 vmware-vmon-cli --version ``` #### 网康科技 NS-ASG 应用安全网关 SQL 注入漏洞 (CVE-2024-3458, CVE-2024-3457, CVE-2024-3456) 针对网康科技发布的多个SQL注入漏洞公告,具体编号为 CVE-2024-3458、CVE-2024-3457 和 CVE-2024-3456。这些问题存在于NS-ASG设备中,允许未经身份验证的用户通过特定参数提交恶意输入来操纵数据库查询语句,进而读取敏感数据或者修改配置设置等操作[^2]。 影响范围涵盖了所有运行上述固件版本的应用安全网关产品线,并且由于该类产品广泛应用于企业内部网络边界防护场景下,因此潜在危害较大。 ```sql -- 示例:如何检测是否存在SQL注入点(仅用于合法测试) SELECT * FROM users WHERE id = '1' OR '1'='1'; ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

slience_me

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值