2. 程式人生 > >處理綠盟科技安全評估的系統漏洞

處理綠盟科技安全評估的系統漏洞

阿新 發佈:2018-12-05

如下圖一次掃描,中度風險39個,這個是必須要處理的.其中mysql佔了36個,一看這個感覺整個人都不好了.但是最後解決的辦法也很簡單,就是升級.

 

系統版本Redhat 7.3

1.telnet

因為要升級openssh,openssl,為了避免意外,首先要開啟telnet服務,並把所有相關的包上傳到伺服器.

1.1確認是否安裝了telnet和xinetd(預設是沒有安裝)

rpm -qa telnet*

rpm -qa xinetd

#按情況安裝如下依賴包
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5-devel libidn libidn-devel openssl openssl-devel nss_ldap openldap openldap-devel openldap-clients openldap-servers libxslt-devel libevent-devel ntp libtool-ltdl bison libtool vim-enhanced patch

 

1.2 關閉telnet自啟動

systemctl disable xinetd

systemctl disable telnet.socket

 

1.3 啟動telnet

1)啟動xinetd就會開啟telnet服務

service xinetd start

 2)檢查telnet監聽是否正常

yum -y install net-tools

netstat -tunlp|grep 23

3)設定服務自啟動

#首先檢查是否自啟動
systemctl list-unit-files | grep enable |grep xin

#沒有的話加入自啟動
systemctl enable xinetd

systemctl enable telnet.socket

 

1.4 檢查防火牆,是否開始23埠

1)檢查防火牆是否開啟

firewall-cmd --state

2)開啟23埠

firewall-cmd --permanent --add-port=23/tcp

firewall-cmd --reload

 

1.5 測試telnet

輸入命令:telnet <ip> ,接著輸入使用者名稱密碼登入

 

2. 處理mysql安全漏洞

解決mysql的CVE-2018-3058之類漏洞的辦法就是升級mysql小版本.我這裡安裝的master-slave模式的mysql.mysql版本由5.7.22升級到5.7.24

2.1 檢視slave狀態

show slave status \G;

 

2.2 備份資料和配置檔案

mysqldump -uroot -p --all-databases > ./all20181129.sql

cp /etc/my.cnf /etc/my.cnf20181129

 

2.3 解除安裝mysql5.7.22

rpm -qa | grep -i mysql

service mysqld stop

yum -y remove `rpm -qa | grep -i mysql`

 

2.4 安裝mysql5.7.24

1.解壓

tar -xvf mysql-5.7.24-1.el7.x86_64.rpm-bundle.tar

2.安裝client

rpm -ivh mysql-community-common-5.7.24-1.el7.x86_64.rpm

rpm -ivh mysql-community-libs-5.7.24-1.el7.x86_64.rpm

rpm -ivh mysql-community-devel-5.7.24-1.el7.x86_64.rpm

rpm -ivh mysql-community-client-5.7.24-1.el7.x86_64.rpm

 

3.安裝server

rpm -ivh mysql-community-server-5.7.24-1.el7.x86_64.rpm

 

4.還原主伺服器配置

cp /etc/my.cnf20181129 /etc/my.cnf

 

5.從伺服器配置

cp /etc/my.cnf20181129 /etc/my.cnf

 

6.防火牆檢查

    selinux檢查(主)

        firewall-cmd --state 

        #防火牆列表

        firewall-cmd --list-all

 

        #防火牆開放3306埠

        firewall-cmd --permanent --add-port=3306/tcp

 

        # 防火牆重新載入配置

        firewall-cmd –reload

 

7.設定SELINUX

# 輸入命令:

getenforce


# 如果不是Permissive,做已下修改

setenforce 0


vim /etc/selinux/config

 
SELINUX= Permissive

 

8.開啟資料庫

service mysqld start

 

 

3.openssl

3.1檢視OpenSSL

rpm -qa openssl

 

3.2如需解除安裝openssl

rpm -e --nodeps `rpm -qa|grep openssl`

 

3.3編譯安裝

mv /etc/ssl /etc/ssl.bak

tar -zxvf ./openssl-1.0.2o.tar.gz

cd openssl-1.0.2o

 

./config shared --prefix=/usr/local/ssl --openssldir=/usr/local/ssl

make

make install

 

mv /usr/bin/openssl /usr/bin/openssl.lod

mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
echo "/usr/local/ssl/lib64" >> /etc/ld.so.conf
ln -s /usr/local/ssl/lib/libssl.so.1.0.0 /usr/lib64/libssl.so.1.0.0
ln -s /usr/local/ssl/lib/libcrypto.so.1.0.0 /usr/lib64/libcrypto.so.1.0.0
ldconfig -v
openssl version -a #檢視OpenSSL版本

 

4.openssh

由openssh7.8 升級到openssh7.9

 

四、升級openssh7.9(所有伺服器)

 

4.1 檢視版本

ssh -V

 

4.2解除安裝舊版本openssh

service sshd stop

rpm -qa|grep openssh

rpm -e --nodeps `rpm -qa|grep openssh`

cp -r /etc/ssh /etc/sshold

 

4.3編譯安裝

tar -zxvf ./openssh-7.9p1.tar.gz

cd openssh-7.9p1

 

./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/ssl --with-zlib=/usr/local/zlib

 

make

make install

 

4.4拷貝配置檔案

cp  contrib/redhat/sshd.init /etc/init.d/sshd
chkconfig --add sshd

cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub

 

4.5啟動ssh服務

service sshd restart

 

4.7檢查版本

ssh -V

 

 

5.zlib

升級到zlib-1.2.11,這個是一個坑,注意順序,如果提前解除安裝早了,會造成新zlib編譯安裝失敗.

 

 

5.1 安裝依賴(先不用做)

 

5.2 解壓 zlib1.2.11到/usr/local/src/下

tar -zxvf zlib-1.2.11.tar.gz  -C /usr/local/src/

 

2.3 檢視一下zlib安裝檔案

rpm -ql zlib

 

2.4 configure

cd /usr/local/src/zlib-1.2.11

./configure -prefix=/usr/local/zlib/ -libdir=/lib64/

 

2.5 用make進行編譯

make

 

2.6 解除安裝zlib,掌握這個順序很有必要,如果解除安裝早了的話,上一步就會提示失敗。解除安裝完成之後,發現/lib64/目錄下,zlib的庫檔案,libz.so*沒有了

rpm -e --nodeps zlib-1.2.7-17.el7.x86_64

 

2.7用make install安裝zlib,安裝完成之後,可以看到/usr/local/zlib/目錄下有個lib目錄,裡面存放的就是zlib的庫檔案

make install

 

2.8這時候用yum等工具,會提示確實libz.so*支援,所以必須把當前共享庫檔案註冊到系統中,開啟/etc/ld.so.conf,

 vim /etc/ld.so.conf

在下面加入一行/usr/local/zlib/lib/,然後儲存退出

 

2.9用ldconfig重新更新一下cache,這時候再用yum等工具,發現執行正常了,至此,zlib就更新成功。

ldconfig

 

2.10檢視版本

find /usr/ -name zlib.pc

cat /usr/lib64/pkgconfig/zlib.pc

 

相關推薦

處理科技安全評估系統漏洞

如下圖一次掃描,中度風險39個,這個是必須要處理的.其中mysql佔了36個,一看這個感覺整個人都不好了.但是最後解決的辦法也很簡單,就是升級.   系統版本Redhat 7.3 1.telnet 因為要升級openssh,openssl,為了避免意外,首先要開啟telnet服務,並把所

科技安全運營能力與技術創新

在企業安全運營中,大家不再滿足只從合規的角度,而提出了越來越高的要求,希望從合規轉變成有效的企業安全風險治理。我們今天面臨的網路安全風險問題,與10年前大有不同,十年前更多考慮虛擬網路空間的一些事件,而今天已經影響到整個社會的穩定甚至包括個人生活。 企業如何

智慧安全2.0創新成果釋出會:科技以變革之道啟用新動能

今天(4月10日),以“雲地協同•智行合一”為主題的“綠盟科技智慧安全2.0創新成果釋出暨戰略簽約儀式”今日在北京香格里拉飯店舉行。釋出會上,綠盟科技首次全面展示了“智慧安全2.0”戰略的創新成果和在資訊保安前沿技術領域取得的成就,重磅釋出了包括《2017年度網

nsfocus遠端安全評估系統報告提取資訊指令碼

# coding=utf-8 from bs4 import BeautifulSoup import xlwt """ 採集移動漏掃報中主機埠,banner資訊和漏洞資訊 python2.7 """ ip_port = [] ip_alarm = [] #獲取主機 def get_h

AppScan安全掃描-系統漏洞解決方法

1、AppScan簡介 Rational AppScan(簡稱 AppScan)其實是一個產品家族,包括眾多的應用安全掃描產品,從開發階段的原始碼掃描的 AppScan source edition,到針對 Web 應用進行快速掃描的 AppScan stand

C++ 虛擬函式 筆試題目--科技

求下面程式的輸出值: class A{ public:  A() {func(0);};  virtual void func(int data) {printf("A1 :%d\n",data);}  virtual void func(int data) const {

科技面經

綠盟科技面試python開發崗位,問的基礎挺多的。好幾天了前了,現在記得的問題總結一下。如下: http1.1和http1.0的區別 htto1.0,每次請求和響應都需要建立一個單獨的連線,每次連線只是傳輸一個物件,嚴重影響客戶機和伺服器的效能。 http1.1支援持久連線,在一個T

Nsfocus-科技筆試題目(轉)

曾經在綠盟幹過2年安全工程師和風險評估諮詢師,最近在網上閒逛看到有人把我曾經做過的綠盟筆試題貼了出來,試著做一份參考答案,希望我的解題思路能對想參加綠盟筆試的朋友有所幫助,綠盟的試題涵蓋很廣,我當是主攻的是主機安全,包括類unix和windows和網路通訊安全,其實綠盟出這個題目就是為了考察參試者的知識深度

啟明星辰與科技的培訓文件

啟明星辰 綠盟科技 資訊保安這個圈  序號         細分市場                                    主要企業 1         防火牆                              天融信、華賽、H3C 和思科

武漢_科技 Java 一面二面

一面: 根據簡歷大致來問 講一個專案 (黨建) 專案中多使用者許可權 資料庫設計 簡單許可權系統表設計 簡單許可權系統設計(使用者,角色,許可權) 表設計 多對多, 兩個關聯表 使用者表:t_user

GO語言Beego框架之WEB安全系統(5)跨目錄上傳檔案漏洞

跨目錄上傳檔案漏洞 攻擊原理 絕對路徑名或者相對路徑名中可能會包含檔案連結(例如:軟連結、硬連結、快捷方式、影子檔案、別名等),或者包含特殊字元(例如:.與..),這使得驗證檔案路徑變得困難;同時還有很多作業系統和檔案系統相關的命名約定,也增加了驗證檔案路

linux上安全掃描系統的指令碼(自動掃描出漏洞,以及給出解決方案)

請自行下載安裝包 lynis-master.zip 指令碼內容如下: cat   lynis.sh !#/bin/bash unzip lynis-master.zip  > /dev/null mv lynis-master  /etc

對上線專案進行掃描,目標URL存在http host的頭攻擊漏洞,解決方案和驗證

近期在使用綠盟對線上專案進行安全掃描時,發現系統存在host頭攻擊漏洞。在此記錄解決的過程以便後期回顧上述問題出現的原因為在專案中使用了 request.getServerName 導致漏洞的出現 不要使用request中的serverName,也就是說host header

幾款Linux系統漏洞掃描、評估工具簡介

一、Nmap Nmap 是一種常用工具,可用於判定網路的佈局。我們可以在網路上使用 Nmap 來查詢主機系統以及開啟這些系統的埠。 1. 安裝Nmap。 [root@GeekDevOps ~]# yum -y install nmap 使用示例(

第一屆桂林電子科技大學杯CTF大賽 wp

misc音訊分析拿到一個wav檔案,用audacity開啟看見很明顯是摩斯電碼..-. .-.. .- --. .. ... -- --- .-. ... . -.... -.... -.... --. ..- . - --.- .-- 解密就出來了資料包分析分析資料包看見發

趨勢科技安全威脅病毒預警(本周十大病毒排名)

tex 系統 重定向 運行程序 size white 感染病毒 活躍 lsp 最近,趨勢科技中國區網絡安全監控中心公布了《安全威脅每周警訊》,統計了較為活躍的排名前十的病毒類型。報告顯示,這些病毒共同的特征和逐利手段是:在用戶不知情的狀態下,私自下載惡意程序或未知

Android項目實戰_手機安全衛士系統加速

存儲 abs andro ddc mat author empty ring send ## 1.本地數據庫自動更新的工作機制1. 開啟一個服務,定時訪問服務器2. 進行版本對比,如果最新版本比較高,獲取需要更新的內容3. 將新內容插入到本地數據庫中 ## 2.如何處理橫豎

VxWorks Fuzzing 之道:VxWorks 工控實時操作系統漏洞挖掘調試與利用揭秘

設備 coldfire 巴西 目標 自動重啟 ipv packet lec 被攻擊 轉載:freebuf 0×00 前言 關於VxWorks,這裏引用44CON議題《攻擊 VxWorks:從石器時代到星際》探究 一文章中的介紹: VxWorks 是世界上使用最廣泛的一種在嵌

齊博分類系統漏洞分析

tree 分析 oot 可控 插入數據 技術 arc sea title 0x01 漏洞利用知識點 1.代碼執行 2.變量覆蓋 3.文件包含 0x02 漏洞分析 首先在/fenlei1.0/do/jf.php文件中存在代碼執行片段 $query2 = $db-&g

STAR雲安全評估

star 雲安全評估 STAR雲安全評估是信息安全管理體系ISO/IEC 27001的增強版本。盡管該標準得到了廣泛的認可與尊重,但該標準的要求更具一般性,並未關註對於特定業務領域至關重要的安全問題(例如雲安全)。 雲安全聯盟與一個行業工作組共同開發出雲控制矩陣(CCM),規定了雲安全相關的常用控制