一般的な検出のためのLinuxのバグ修正は、脆弱性を検出しました。セントos7.3、最初一見大通り。
前提
Tomcatの:
バージョン番号のCDをチェック/usr/tomcat9/bin/;./version.sh
サービスステータスFastGateServer.shのステータスを確認
プロファイルパスtomcat9conf / web.xmlおよび/usr/tomcat9/webapps/host-manager/WEB-INF/web.xml
HTTPD:
9999:カール-iローカルホストのバージョン番号を表示します
サービスステータスsystemctlの状態を確認しhttpd.service
プロファイルパスのある/etc/httpd/conf/httpd.conf
Nginxは:
チェックバージョン番号は/ usr / local / nginxの/ sbinに/ nginxの-v
サービスの状態nginserver.shステータスを確認
プロファイルパス/usr/local/nginx/conf/nginx.conf
バグ修正
Tomcatの:
1. バージョン情報を隠します
。インストールcatalina.jar libディレクトリは、ディレクトリをファイルTOMCAT、見つかりコピーやバックアップcatalina.jar.bakとしてファイル名を変更
B。瓶XF catalina.jar解压catalina.jar包
CD ORG / apacheの/カタリナ/ utilに/
次のように改正VI ServerInfo.properties、:
C。CDの/ usr / tomcat9 / libに/
ジャーUVF catalina.jar ORG /アパッチ/カタリナ/ UTIL / ServerInfo.properties。catalina.jar圧縮パケット修飾
CDの/ usr / tomcat9 / binに/
./shutdown.sh
./startup.sh
./version.shビューが正常に変更されているかどうか
2. エラーページを交換してください
a.vi /usr/tomcat9/webapps/host-manager/WEB-INF/web.xml
B <エラーページ>エラー・コードが指定する固定の.jspファイル、.jspファイルでカスタムファイルで指定されました
へのパスの下で
(//blog.csdn.net/JustinQin/article/details/78879185:httpsの操作は、リンクを参照してください)
3. 変更HTTP レスポンスヘッダ(それがX-XSS-保護を使用していない、X-フレーム-オプション、X-コンテンツオプション:nosniff)
a.viのtomcat / confに/ web.xmlの
。Bが増加次のように
<フィルタ>
<フィルタ名> httpHeaderSecurity </フィルタ名>
<フィルタクラス> org.apache.catalina.filters.HttpHeaderSecurityFilter </フィルタクラス>
<init-param>の
<param-name>のantiClickJackingOption </ PARAM名>
<PARAM値> SAMEORIGIN </ PARAM値>
</ initの-param>の
<非同期サポート>真</非同期サポート>
</フィルタ>
<のfilter-mapping>
<フィルタ名> httpHeaderSecurity </フィルタ名>
<url-pattern> / * </のurl-pattern>
</フィルタマッピング>
C。サービスを再起動します。F12再びあなたはこれらの3件の脆弱性のリクエストヘッダを見ることができます制限されているのリクエストヘッダを表示するには
この脆弱性の概要:
X-XSS-保護<===>设置X-XSS-保護:1; モード=ブロック
X-フレーム・オプション<===>设置X-フレーム・オプション:SAMEORIGIN
X-コンテンツオプション:nosniff <===>设置X-Content-Typeの-オプション:nosniff
HTTPD:
1. 無効にトレース
a.viある/etc/httpd/conf/httpd.conf
。BのServerRootに配置された追加:TraceEnableオフ
(//blog.csdn.net/weixin_33881140/article/details/93106321:httpsの操作は、リンクを参照してください)
2. デフォルトのインデックスページを削除します
a.viある/etc/httpd/conf/httpd.conf
B下の名前。変更<のIfModule dir_module>
(//www.cnblogs.com/elfsundae/archive/2010/12/14/1905942.html:httpsの操作は、リンクを参照してください)
3. バージョン情報を隠します
。場合は、バックアップ設定ファイルが開きます。
CP /usr/local/WebServer/apache/conf/httpd.conf httpd.conf.bak
我々/usr/local/WebServer/apache/conf/httpd.conf
B。次の設定ファイルを確認するためにエントリがないではない場合、あなたは以下の項目を持つように変更され、アップ追加する必要があります。
ServerSignatureオフ
ServerTokensのProd
変更と出口viの保存
killallはhttpdの
/ usr / local / WebServerの/ apacheの/ binに/はapachectl開始
Nginxは:
1. サーバートークン
A。/usr/local/nginx/conf/nginx.conf
b.ttpブロックを追加します。オフserver_tokens
C。再起動nginxのサービス
確認してください:カール-I ocalhost:80
SSH:
1. 弱い暗号化アルゴリズム
a.viは、/ etc / ssh / sshd_config
B。(など、弱い暗号化アルゴリズムをarcfour256、削除ARCFOUR、arcfour128に)内容を追加します。
c.serviceは、sshdの再起動サービスを再起動します
検証:
SSH -vv -oCiphers = AES128-CBC、3DES-CBC、フグ-CBC <サーバー>
SSH -vv -oMACs = HMAC-MD5 <サーバー>
2.CBC モード漏洩の脆弱性CVE-2008から5161
a.viは、/ etc / ssh / sshd_config、找到#暗号とキーイング
B。挿入#暗号とキーイングiphers AES128-CTR、AES192-CTR、AES256-CTR、arcfour256、arcfour128、AES128-GCM @ openssh.com、AES256-GCM @ openssh.com、chacha20-poly1305 @のOpenSSHの内容を変更します.COM、ARCFOUR
C。sshサービスを再起動します。
バージョンを交換してください
Tomcatのバージョンの交換
方法a:マニュアルの交換(チェン氏は、その後、交換してください)
方法2:スクリプトを交換してください