linux漏洞修复,适用于一般检测器检测到的漏洞。cent os7.3,初窥门径。
前提
Tomcat:
查看版本号cd /usr/tomcat9/bin/;./version.sh
查看服务状态FastGateServer.sh status
配置文件路径tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xml
Httpd:
查看版本号curl -i localhost:9999
查看服务状态systemctl status httpd.service
配置文件路径/etc/httpd/conf/httpd.conf
Nginx:
查看版本号/usr/local/nginx/sbin/nginx -v
查看服务状态nginserver.sh status
配置文件路径/usr/local/nginx/conf/nginx.conf
漏洞修复
Tomcat:
1.隐藏版本信息
a.找到tomcat安装目录下lib目录下catalina.jar文件,将该文件拷贝并重命名为catalina.jar.bak作为备份
b. jar xf catalina.jar解压catalina.jar包
cd org/apache/catalina/util/
vi ServerInfo.properties,修改为:
c. cd /usr/tomcat9/lib/
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties.压缩修改后的catalina.jar包
cd /usr/tomcat9/bin/
./shutdown.sh
./startup.sh
./version.sh查看是否已经修改成功
2.替换错误页面
a.vi /usr/tomcat9/webapps/host-manager/WEB-INF/web.xml
b.在<error-page>下指定的error-code指定一个固定的.jsp文件,.jsp文件自定义放在
某个路径下即可
(操作见链接:https://blog.csdn.net/JustinQin/article/details/78879185)
3.修改http响应头(使其不使用X-XSS-Protection、X-Frame-Options、X-Content-Options:nosniff)
a.vi tomcat/conf/web.xml
b.增加如下配置:
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
c.重启服务。再次F12查看请求头就可以看到请求头对这三个漏洞已经做了限制
此漏洞总结:
X-XSS-Protection <===>设置X-XSS-Protection:1; mode=block
X-Frame-Options <===> 设置X-Frame-Options:SAMEORIGIN
X-Content-Options:nosniff <===>设置X-Content-Type-Options:nosniff
Httpd:
1.禁用Trace
a.vi /etc/httpd/conf/httpd.conf
b.在ServerRoot下添加配置:TraceEnable off
(操作见链接:https://blog.csdn.net/weixin_33881140/article/details/93106321)
2.删除默认的索引页面
a.vi /etc/httpd/conf/httpd.conf
b.修改<IfModule dir_module>下的名称
(操作见链接:https://www.cnblogs.com/elfsundae/archive/2010/12/14/1905942.html)
3.隐藏版本信息
a.备份后打开配置文件。
cp /usr/local/WebServer/apache/conf/httpd.conf httpd.conf.bak
vi /usr/local/WebServer/apache/conf/httpd.conf
b.先确认一下文件中有没有如下配置项,如果没有,就需要添加上去,有则修改成如下项。
ServerSignature Off
ServerTokens Prod
保存修改,退出vi
killall httpd
/usr/local/WebServer/apache/bin/apachectl start
Nginx:
1.服务器令牌
a. /usr/local/nginx/conf/nginx.conf
b.ttp块中添加:server_tokens off
c.重启nginx服务
验证:curl –I ocalhost:80
SSH:
1.弱加密算法
a.vi /etc/ssh/sshd_config
b.添加内容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)
c.service sshd restart重启服务
验证:
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>
ssh -vv -oMACs=hmac-md5 <server>
2.CBC模式泄漏漏洞CVE-2008-5161
a.vi /etc/ssh/sshd_config,找到# Ciphers and keying
b.将# Ciphers and keying下的内容修改为iphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],[email protected],arcfour
c.重启ssh服务
版本替换
Tomcat版本替换
方法一:手动替换(先生成,再替换)
方法二:脚本替换