Linux|【2024】Linux漏洞修复合集

2024/01/03 Linux 共 14675 字,约 42 分钟

【2024】Linux漏洞修复合集

1. 漏洞CVE-2022-23521、CVE-2022-41903

发现以下系统软件存在安全漏洞:
perl-Git-1.8.3.1-23.el7_8 版本低于 1.8.3.1-24.el7_9
git-1.8.3.1-23.el7_8 版本低于 1.8.3.1-24.el7_9
涉及漏洞:CVE-2022-23521、CVE-2022-41903
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:0978

根据提供的信息,您的系统软件存在两个安全漏洞(CVE-2022-23521和CVE-2022-41903),而要修复这些漏洞,您可以按照以下步骤进行更新:

  1. 更新软件包: 在这种情况下,您需要将perl-Git和git软件包更新到修复了这些漏洞的最新版本。在Red Hat系统上,您可以使用以下命令之一来更新软件包:

     sudo yum update perl-Git git
    

    或者

     sudo dnf update perl-Git git
    

    这将检查可用的更新并安装最新版本的perl-Git和git软件包,这两个软件包将被升级到修复漏洞的版本。

  2. 重启系统或相关服务: 在更新完成后,有时可能需要重新启动系统或相关服务,以确保新版本的软件包生效。

  3. 验证更新: 完成更新后,您可以通过检查软件包的版本信息来验证是否成功安装了修复了漏洞的版本。您可以使用以下命令来检查软件包的版本:

     rpm -q perl-Git git
    

    请确保版本号已更新到修复了漏洞的版本(例如,1.8.3.1-24.el7_9或更高版本)。

通过更新软件包,您将能够修复系统中存在的安全漏洞。强烈建议及时应用安全更新,以确保系统的安全性和稳定性。

2. 漏洞CVE-2022-0778

发现以下系统软件存在安全漏洞:
openssl-devel-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
openssl-libs-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
openssl-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
涉及漏洞:CVE-2022-0778
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:1066

要修复这些存在的CVE-2022-0778安全漏洞,您需要升级您系统上的OpenSSL软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新OpenSSL软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新OpenSSL软件包:

     sudo yum update openssl openssl-libs openssl-devel
    

    或者

     sudo dnf update openssl openssl-libs openssl-devel
    

    这将检查可用的更新并安装最新版本的OpenSSL软件包,将openssl、openssl-libs和openssl-devel升级到修复了漏洞的版本。

  2. 重启相关服务: 更新软件包后,建议重新启动依赖于OpenSSL的服务,以确保新版本的OpenSSL生效。您可以考虑重新启动与网络通信或安全相关的服务,例如Web服务器(如Apache或Nginx)、邮件服务(如Postfix)、VPN等。

  3. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的OpenSSL是否已成功安装:

     rpm -q openssl openssl-libs openssl-devel
    

    确保版本号已更新到修复了CVE-2022-0778漏洞的版本(例如,1.0.2k-25.el7_9或更高版本)。

通过更新OpenSSL软件包,您将能够修复系统中存在的CVE-2022-0778安全漏洞。及时应用安全更新对于确保系统的安全性至关重要。

3. 漏洞CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315

发现以下系统软件存在安全漏洞:
expat-2.1.0-12.el7 版本低于 2.1.0-14.el7_9
expat-devel-2.1.0-12.el7 版本低于 2.1.0-14.el7_9
涉及漏洞:CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:1069

要修复这些涉及到的多个CVE安全漏洞,您需要升级您系统上的expat和expat-devel软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新expat软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新expat软件包:

     sudo yum update expat expat-devel
    

    或者

     sudo dnf update expat expat-devel
    

    这将检查可用的更新并安装最新版本的expat和expat-devel软件包,将其升级到修复了CVE漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的expat是否已成功安装:

     rpm -q expat expat-devel
    

    确保版本号已更新到修复了提到的CVE漏洞的版本(例如,2.1.0-14.el7_9或更高版本)。

通过更新expat和expat-devel软件包,您将能够修复系统中存在的多个CVE安全漏洞。记得及时应用安全更新以确保系统的安全性。

4. 漏洞:CVE-2022-29154

发现以下系统软件存在安全漏洞:
rsync-3.1.2-10.el7 版本低于 3.1.2-11.el7_9
涉及漏洞:CVE-2022-29154
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:6170

要修复涉及到的CVE-2022-29154安全漏洞,您需要升级您系统上的rsync软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新rsync软件包: 在您的Red Hat系统上,您可以使用以下命令来更新rsync软件包:

     sudo yum update rsync
    

    或者

     sudo dnf update rsync
    

    这将检查可用的更新并安装最新版本的rsync软件包,将其升级到修复了CVE-2022-29154漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的rsync是否已成功安装:

     rpm -q rsync
    

    确保版本号已更新到修复了CVE-2022-29154漏洞的版本(例如,3.1.2-11.el7_9或更高版本)。

通过更新rsync软件包,您将能够修复系统中存在的CVE-2022-29154安全漏洞。务必及时应用安全更新以确保系统的安全性。

5. 漏洞:CVE-2023-24329

发现以下系统软件存在安全漏洞:
python3-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
python3-devel-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
python3-libs-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
涉及漏洞:CVE-2023-24329
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:3556

要修复涉及到的CVE-2023-24329安全漏洞,您需要升级您系统上的Python3相关软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新Python3相关软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新Python3相关软件包:

     sudo yum update python3 python3-devel python3-libs
    

    或者

     sudo dnf update python3 python3-devel python3-libs
    

    这将检查可用的更新并安装最新版本的Python3软件包,将python3、python3-devel和python3-libs升级到修复了CVE-2023-24329漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的Python3相关软件包是否已成功安装:

     rpm -q python3 python3-devel python3-libs
    

    确保版本号已更新到修复了CVE-2023-24329漏洞的版本(例如,3.6.8-19.el7_9或更高版本)。

通过更新Python3相关软件包,您将能够修复系统中存在的CVE-2023-24329安全漏洞。务必及时应用安全更新以确保系统的安全性。

6. 漏洞:CVE-2023-24329

发现以下系统软件存在安全漏洞:
python-libs-2.7.5-90.el7 版本低于 2.7.5-93.el7_9
python-2.7.5-90.el7 版本低于 2.7.5-93.el7_9
涉及漏洞:CVE-2023-24329
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:3555

要修复涉及到的CVE-2023-24329安全漏洞,您需要升级您系统上的Python相关软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新Python相关软件包: 在您的Red Hat系统上,您可以使用以下命令之一来更新Python相关软件包:

     sudo yum update python python-libs
    

    或者

     sudo dnf update python python-libs
    

    这将检查可用的更新并安装最新版本的Python软件包,将python和python-libs升级到修复了CVE-2023-24329漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的Python相关软件包是否已成功安装:

     rpm -q python python-libs
    

    确保版本号已更新到修复了CVE-2023-24329漏洞的版本(例如,2.7.5-93.el7_9或更高版本)。

通过更新Python相关软件包,您将能够修复系统中存在的CVE-2023-24329安全漏洞。务必及时应用安全更新以确保系统的安全性。

7. 漏洞:CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698

发现以下系统软件存在安全漏洞:
microcode_ctl-2.1-73.4.el7_9 版本低于 2.1-73.11.el7_9
涉及漏洞:CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:3028

要修复涉及到的多个CVE安全漏洞,您需要升级您系统上的microcode_ctl软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新microcode_ctl软件包: 在您的Red Hat系统上,您可以使用以下命令来更新microcode_ctl软件包:

     sudo yum update microcode_ctl
    

    或者

     sudo dnf update microcode_ctl
    

    这将检查可用的更新并安装最新版本的microcode_ctl软件包,将其升级到修复了涉及到的CVE漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的microcode_ctl是否已成功安装:

     rpm -q microcode_ctl
    

    确保版本号已更新到修复了涉及到的CVE漏洞的版本(例如,2.1-73.11.el7_9或更高版本)。

通过更新microcode_ctl软件包,您将能够修复系统中存在的多个CVE安全漏洞。务必及时应用安全更新以确保系统的安全性。

8. 漏洞:CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513

发现以下系统软件存在安全漏洞:
microcode_ctl-2.1-73.4.el7_9 版本低于 2.1-73.9.el7_9
涉及漏洞:CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:2305

要修复涉及到的多个CVE安全漏洞,您需要升级您系统上的microcode_ctl软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新microcode_ctl软件包: 在您的Red Hat系统上,您可以使用以下命令来更新microcode_ctl软件包:

     sudo yum update microcode_ctl
    

    或者

     sudo dnf update microcode_ctl
    

    这将检查可用的更新并安装最新版本的microcode_ctl软件包,将其升级到修复了涉及到的CVE漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的microcode_ctl是否已成功安装:

     rpm -q microcode_ctl
    

    确保版本号已更新到修复了涉及到的CVE漏洞的版本(例如,2.1-73.9.el7_9或更高版本)。

通过更新microcode_ctl软件包,您将能够修复系统中存在的多个CVE安全漏洞。务必及时应用安全更新以确保系统的安全性。

9. 漏洞:CVE-2020-8625

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.4
涉及漏洞:CVE-2020-8625
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:0671

要修复涉及到的CVE-2020-8625安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

     sudo yum update bind-export-libs
    

    或者

     sudo dnf update bind-export-libs
    

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2020-8625漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

     rpm -q bind-export-libs
    

    确保版本号已更新到修复了CVE-2020-8625漏洞的版本(例如,9.11.4-26.P2.el7_9.4或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2020-8625安全漏洞。务必及时应用安全更新以确保系统的安全性。

10. 漏洞:CVE-2023-2828

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.14
涉及漏洞:CVE-2023-2828
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:4152

要修复涉及到的CVE-2023-2828安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

     sudo yum update bind-export-libs
    

    或者

     sudo dnf update bind-export-libs
    

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2023-2828漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

     rpm -q bind-export-libs
    

    确保版本号已更新到修复了CVE-2023-2828漏洞的版本(例如,9.11.4-26.P2.el7_9.14或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2023-2828安全漏洞。务必及时应用安全更新以确保系统的安全性。

11. 漏洞:CVE-2021-25215

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.5
涉及漏洞:CVE-2021-25215
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:1469

要修复涉及到的CVE-2021-25215安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

     sudo yum update bind-export-libs
    

    或者

     sudo dnf update bind-export-libs
    

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2021-25215漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

     rpm -q bind-export-libs
    

    确保版本号已更新到修复了CVE-2021-25215漏洞的版本(例如,9.11.4-26.P2.el7_9.5或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2021-25215安全漏洞。务必及时应用安全更新以确保系统的安全性。

12. 漏洞:CVE-2023-3341

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.15
涉及漏洞:CVE-2023-3341
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:5691

要修复涉及到的CVE-2023-3341安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

     sudo yum update bind-export-libs
    

    或者

     sudo dnf update bind-export-libs
    

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2023-3341漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

     rpm -q bind-export-libs
    

    确保版本号已更新到修复了CVE-2023-3341漏洞的版本(例如,9.11.4-26.P2.el7_9.15或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2023-3341安全漏洞。务必及时应用安全更新以确保系统的安全性。

13. 漏洞:CVE-2022-38177、CVE-2022-38178

发现以下系统软件存在安全漏洞:
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.10
涉及漏洞:CVE-2022-38177、CVE-2022-38178
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:6765

要修复涉及到的CVE-2022-38177和CVE-2022-38178安全漏洞,您需要升级您系统上的bind-export-libs软件包到修复了这些漏洞的最新版本。以下是修复步骤:

  1. 更新bind-export-libs软件包: 在您的Red Hat系统上,您可以使用以下命令来更新bind-export-libs软件包:

     sudo yum update bind-export-libs
    

    或者

     sudo dnf update bind-export-libs
    

    这将检查可用的更新并安装最新版本的bind-export-libs软件包,将其升级到修复了CVE-2022-38177和CVE-2022-38178漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的bind-export-libs是否已成功安装:

     rpm -q bind-export-libs
    

    确保版本号已更新到修复了CVE-2022-38177和CVE-2022-38178漏洞的版本(例如,9.11.4-26.P2.el7_9.10或更高版本)。

通过更新bind-export-libs软件包,您将能够修复系统中存在的CVE-2022-38177和CVE-2022-38178安全漏洞。务必及时应用安全更新以确保系统的安全性。

14. 漏洞:CVE-2018-25032

发现以下系统软件存在安全漏洞:
zlib-1.2.7-19.el7_9 版本低于 1.2.7-20.el7_9
zlib-devel-1.2.7-19.el7_9 版本低于 1.2.7-20.el7_9
涉及漏洞:CVE-2018-25032
详情参考官方公告:https://access.redhat.com/errata/RHSA-2022:2213

要修复涉及到的CVE-2018-25032安全漏洞,您需要升级系统上的zlib和zlib-devel软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新zlib和zlib-devel软件包: 在您的Red Hat系统上,您可以使用以下命令来更新这两个软件包:

     sudo yum update zlib zlib-devel
    

    或者

     sudo dnf update zlib zlib-devel
    

    这将检查可用的更新并安装最新版本的zlib和zlib-devel软件包,将其升级到修复了CVE-2018-25032漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的zlib和zlib-devel是否已成功安装:

     rpm -q zlib zlib-devel
    

    确保版本号已更新到修复了CVE-2018-25032漏洞的版本(例如,1.2.7-20.el7_9或更高版本)。

通过更新zlib和zlib-devel软件包,您将能够修复系统中存在的CVE-2018-25032安全漏洞。务必及时应用安全更新以确保系统的安全性。

15. SSH 登录超时配置检测

风险描述
未启用SSH登录超时配置

解决方案
1、在【/etc/ssh/sshd_config】文件中设置【LoginGraceTime】为60

温馨提示
将LoginGraceTime参数设置为一个较小的数字将最大限度地降低对SSH服务器成功进行暴力破解的风险。它还将限制并发的未经身份验证的连接数量。
sudo vim /etc/ssh/sshd_config
/LoginGraceTime 回车全局搜索
修改即可

16. 检查是否设置无操作超时退出

风险描述
未配置命令行超时退出

解决方案
1、在文件【/etc/profile】中添加tmout=300,等保要求不大于600秒
2、执行命令source /etc/profile使配置生效

温馨提示
此方案会使服务器命令行超过一定时间未操作自动关闭,可以加强服务器安全性。

17. 检查是否允许空密码sudo提权

风险描述
以下sudo文件存在NOPASSWD标记:【/etc/sudoers】

解决方案
1、打开/etc/sudoers或是/etc/sudoers.d下的文件
2、删除或注释【NOPASSWD】标记所在行

温馨提示
当sudo使用【NOPASSWD】标记时,允许用户使用sudo执行命令,而无需进行身份验证。这种不安全的配置可能导致黑客夺取服务器的高级权限。

18. 用户FTP访问安全配置检查

风险描述
当前pure-ftpd未配置安全访问,在【pure-ftpd.conf】文件中修改/添加Umask的值为177:077

解决方案
1、在【/www/server/pure-ftpd/etc/pure-ftpd.conf】在配置文件中修改Umask的值为177:077

温馨提示
此方案可以增强对FTP服务器的防护,降低服务器被入侵的风险

19. 检查重要文件是否存在suid和sgid权限

风险描述
以下文件存在sid特权,chmod u-s或g-s去除sid位:"/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport"

解决方案
1、使用chmod u-s/g-s 【文件名】命令修改文件的权限

温馨提示
此方案去除了重要文件的特殊权限,可以防止入侵者利用这些文件进行权限提升。
sudo chmod u-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport
sudo chmod g-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport

20. SSH密码复杂度检查

风险描述
【/etc/security/pwquality.conf】文件中把minclass设置置为3或者4

解决方案
1、【/etc/security/pwquality.conf】 把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:
2、minclass=3

温馨提示
此方案加强服务器登录密码的复杂度,降低被爆破成功的风险。

21. 检测PHP是否关闭错误提示

风险描述
未关闭错误信息提示的PHP版本有:5.6

解决方案
1、根据风险描述,在【软件商店】-【运行环境】找到对应版本的PHP插件,在【配置修改】页面,将display_errors设置为关闭并保存

温馨提示
PHP错误提示可能会泄露网站程序的敏感信息;此方案通过关闭【display_errors】选项,防止网站信息泄露。

22. SSH 空闲超时时间检测

风险描述
当前SSH空闲超时时间为:0,请设置为600-900

解决方案
1、在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600到900之间
2、提示:SSH空闲超时时间建议为:600-900

温馨提示
此方案可以增强SSH服务的安全性,修复后连接SSH长时间无操作会自动退出,防止被他人利用。

23. 未使用安全套接字加密远程管理ssh

风险描述
未使用安全套接字加密远程管理ssh

解决方案
1、在【/etc/ssh/sshd_config】文件中添加或修改Protocol 2
2、随后执行命令systemctl restart sshd重启进程

温馨提示
此方案可以增强对SSH通信的保护,避免敏感数据泄露。

你可以使用文本编辑器来添加或修改 /etc/ssh/sshd_config 文件中的 Protocol 选项,将其设置为使用 SSH 协议版本 2。在大多数情况下,SSH 默认使用协议版本 2,但如果你需要明确设置或更改,可以按照以下步骤操作:

  1. 打开终端或 SSH 连接,并以具有管理员权限的用户身份登录到系统中。

  2. 使用文本编辑器(例如 nanovimgedit)打开 /etc/ssh/sshd_config 文件。例如,在终端中使用 nano 编辑器:

sudo nano /etc/ssh/sshd_config
  1. 找到 Protocol 行(如果不存在,请在文件末尾添加),确保其指定的协议为 2。如果有行注释(以 # 开头),请删除注释符号 # 并确保行中的协议设置正确。如果没有找到 Protocol 行,则可以手动添加:
Protocol 2
  1. 保存更改(在 nano 中使用 Ctrl + O,然后按 Enter 键,然后使用 Ctrl + X 来退出 nano 编辑器)。

  2. 重新加载 SSH 服务以使更改生效。你可以执行以下命令来重新加载 SSH 服务:

sudo systemctl reload sshd

这样,SSH 服务器将使用协议版本 2 进行连接。确保在更改配置文件后测试 SSH 连接,以确保一切正常工作。

23. 检测是否限制密码重复使用次数

风险描述
未限制密码重复使用次数

解决方案
1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5

温馨提示
此方案通过限制登录密码重复使用次数,加强服务器访问控制保护。

类似这样

password sufficient pam_unix.so remember=5

24. 检查SSH密码修改最小间隔

风险描述
【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7

解决方案
1、【/etc/login.defs】 PASS_MIN_DAYS 应设置为大于等于7
2、PASS_MIN_DAYS 7 需同时执行命令设置root 密码失效时间 命令如下: chage --mindays 7 root

温馨提示
此方案是设置SSH登录密码修改后,多少天之内无法再次修改。

直接执行

chage --mindays 7 root

25. 漏洞:CVE-2023-3899

发现以下系统软件存在安全漏洞:
subscription-manager-rhsm-certificates-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
subscription-manager-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
subscription-manager-rhsm-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
python-syspurpose-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
涉及漏洞:CVE-2023-3899
详情参考官方公告:https://access.redhat.com/errata/RHSA-2023:4701

要修复涉及到的CVE-2023-3899安全漏洞,您需要升级系统上的以下软件包到修复了这个漏洞的最新版本:subscription-manager-rhsm-certificates、subscription-manager、subscription-manager-rhsm和python-syspurpose。以下是修复步骤:

  1. 更新软件包: 在您的系统上,您可以使用以下命令来更新这些软件包:

     sudo yum update subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose
    

    或者

     sudo dnf update subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose
    

    这将检查可用的更新并安装最新版本的这些软件包,将其升级到修复了CVE-2023-3899漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的这些软件包是否已成功安装:

     rpm -q subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose
    

    确保版本号已更新到修复了CVE-2023-3899漏洞的版本(例如,1.24.52-2.el7_9或更高版本)。

通过更新这些软件包,您将能够修复系统中存在的CVE-2023-3899安全漏洞。务必及时应用安全更新以确保系统的安全性。

26. 漏洞:CVE-2020-25692

发现以下系统软件存在安全漏洞:
openldap-2.4.44-22.el7 版本低于 2.4.44-23.el7_9
涉及漏洞:CVE-2020-25692
详情参考官方公告:https://access.redhat.com/errata/RHSA-2021:1389

要修复涉及到的CVE-2020-25692安全漏洞,您需要升级系统上的openldap软件包到修复了这个漏洞的最新版本。以下是修复步骤:

  1. 更新openldap软件包: 在您的Red Hat系统上,您可以使用以下命令来更新openldap软件包:

     sudo yum update openldap
    

    或者

     sudo dnf update openldap
    

    这将检查可用的更新并安装最新版本的openldap软件包,将其升级到修复了CVE-2020-25692漏洞的版本。

  2. 验证更新: 完成更新后,您可以使用以下命令来验证新版本的openldap是否已成功安装:

     rpm -q openldap
    

    确保版本号已更新到修复了CVE-2020-25692漏洞的版本(例如,2.4.44-23.el7_9或更高版本)。

通过更新openldap软件包,您将能够修复系统中存在的CVE-2020-25692安全漏洞。务必及时应用安全更新以确保系统的安全性。

27. 设置ssh登录白名单

风险描述
未设置ssh登录白名单

解决方案
1、在【/etc/hosts.deny】添加ALL:ALL
2、在【/etc/hosts.allow】添加sshd:【来访者IP地址】

温馨提示
此方案会阻挡除白名单以外的其余IP登录服务器,增强服务器的安全防护。注意此方案存在风险,修复之前一定要确保已添加可访问服务器的IP。

文档信息

Search

    Table of Contents