系统相关
首页 > 系统相关> > linux漏洞修复_小白篇

linux漏洞修复_小白篇

作者:互联网

linux漏洞修复,适用于一般检测器检测到的漏洞。cent os7.3,初窥门径。

 

前提

Tomcat

查看版本号cd /usr/tomcat9/bin/;./version.sh

查看服务状态FastGateServer.sh status

配置文件路径tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xml

Httpd:

查看版本号curl -i localhost:9999

查看服务状态systemctl status httpd.service

配置文件路径/etc/httpd/conf/httpd.conf

Nginx:

查看版本号/usr/local/nginx/sbin/nginx -v

查看服务状态nginserver.sh status

配置文件路径/usr/local/nginx/conf/nginx.conf

 

漏洞修复

Tomcat:

1.隐藏版本信息

a.找到tomcat安装目录下lib目录下catalina.jar文件,将该文件拷贝并重命名为catalina.jar.bak作为备份

b. jar xf catalina.jar解压catalina.jar包

cd org/apache/catalina/util/

vi ServerInfo.properties,修改为:

 

c. cd /usr/tomcat9/lib/

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties.压缩修改后的catalina.jar包

cd /usr/tomcat9/bin/

./shutdown.sh

./startup.sh

./version.sh查看是否已经修改成功

 

2.替换错误页面

a.vi /usr/tomcat9/webapps/host-manager/WEB-INF/web.xml

b.在<error-page>下指定的error-code指定一个固定的.jsp文件,.jsp文件自定义放在

某个路径下即可

(操作见链接:https://blog.csdn.net/JustinQin/article/details/78879185)

 

3.修改http响应头(使其不使用X-XSS-Protection、X-Frame-Options、X-Content-Options:nosniff)

a.vi tomcat/conf/web.xml

b.增加如下配置:

<filter>

        <filter-name>httpHeaderSecurity</filter-name>

        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

        <init-param>

            <param-name>antiClickJackingOption</param-name>

            <param-value>SAMEORIGIN</param-value>

        </init-param>

        <async-supported>true</async-supported>

    </filter>

   

    <filter-mapping>

        <filter-name>httpHeaderSecurity</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

c.重启服务。再次F12查看请求头就可以看到请求头对这三个漏洞已经做了限制

此漏洞总结:

X-XSS-Protection <===>设置X-XSS-Protection:1; mode=block

X-Frame-Options <===> 设置X-Frame-Options:SAMEORIGIN

X-Content-Options:nosniff <===>设置X-Content-Type-Options:nosniff

 

Httpd:

1.禁用Trace

a.vi /etc/httpd/conf/httpd.conf

b.在ServerRoot下添加配置:TraceEnable off

(操作见链接:https://blog.csdn.net/weixin_33881140/article/details/93106321)

 

2.删除默认的索引页面

a.vi /etc/httpd/conf/httpd.conf

b.修改<IfModule dir_module>下的名称

(操作见链接:https://www.cnblogs.com/elfsundae/archive/2010/12/14/1905942.html)

 

3.隐藏版本信息

a.备份后打开配置文件。

cp /usr/local/WebServer/apache/conf/httpd.conf  httpd.conf.bak

vi /usr/local/WebServer/apache/conf/httpd.conf

b.先确认一下文件中有没有如下配置项,如果没有,就需要添加上去,有则修改成如下项。

ServerSignature Off

ServerTokens Prod

保存修改,退出vi

killall httpd

/usr/local/WebServer/apache/bin/apachectl start

 

Nginx:

1.服务器令牌

a. /usr/local/nginx/conf/nginx.conf

b.ttp块中添加:server_tokens off

c.重启nginx服务

验证:curl –I ocalhost:80

 

SSH:

1.弱加密算法

a.vi /etc/ssh/sshd_config

b.添加内容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)

c.service sshd restart重启服务

验证:

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>

ssh -vv -oMACs=hmac-md5 <server>

 

2.CBC模式泄漏漏洞CVE-2008-5161

a.vi /etc/ssh/sshd_config,找到# Ciphers and keying

b.将# Ciphers and keying下的内容修改为iphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,arcfour

c.重启ssh服务

 

版本替换

Tomcat版本替换

方法一:手动替换(先生成,再替换)

方法二:脚本替换

标签:httpd,catalina,vi,jar,漏洞,小白篇,usr,conf,linux
来源: https://www.cnblogs.com/jinziguang/p/12061155.html