系統(tǒng)安全加固方案

系統(tǒng)安全加固方案文檔說明

ApacheTomcat漏洞1.1漏洞清單序號漏洞信息影響范圍1ApacheTomcatcookie序列值敏感信息泄露漏洞ApacheTomcatDIGEST身份驗證多個安全漏洞(CVE-2012-3439)ApacheTomcatFORM身份驗證安全繞過漏洞ApacheTomcatHTMLManagerInterfaceHTML注入漏洞ApacheTomcatHTTPDigestAccessAuthentication安全繞過漏洞(CVE-2012-5886)ApacheTomcatHTTPDigestAccessAuthentication安全限制繞過漏洞ApacheTomcatHTTPDigestAccessAuthentication實現(xiàn)安全漏洞(CVE-2012-5887)ApacheTomcatHttpServletResponse.sendError()跨站腳本漏洞(CVE-2008T232)ApacheTomcatHTTP摘要式身份驗證多個安全漏洞ApacheTomcatJavaAJP連接器無效頭拒絕服務(wù)漏洞ApacheTomcat'jsp/cal/cal2.jsp'跨站腳本攻擊漏洞ApacheTomcatJULI日志組件默認安全策略漏洞(CVE-2007-5342)ApacheTomcatNIOConnector拒絕服務(wù)漏洞ApacheTomcatreplay-countermeasure功能安全漏洞ApacheTomcatRequestDispatcher信息泄露漏洞(CVE-2008-2370)ApacheTomcatRequestDispatcher信息泄露漏洞(CVE-2008-5515)ApacheTomcatSecurityManager繞過漏洞(CVE-2014-7810)ApacheTomcatsendfile請求安全限制繞過和拒絕服務(wù)漏洞6

ApacheTomcatSlowloris工具拒絕服務(wù)漏洞ApacheTomcatTransfer-Encoding頭處理拒絕服務(wù)和信息泄露漏洞ApacheTomcatWeb表單哈希沖突拒絕服務(wù)漏洞ApacheTomcatXML解析器非授權(quán)文件讀與漏洞ApacheTomcatXML外部實體信息泄露漏洞(CVE-2013-4590)ApacheTomcat安全漏洞(CVE-2014-0227)ApacheTomcat參數(shù)錯誤信息泄露漏洞ApacheTomcat拒絕服務(wù)漏洞(CVE-2012-3544)ApacheTomcat跨站請求偽造漏洞ApacheTomcat塊請求遠程拒絕服務(wù)漏洞(CVE-2014-0075)ApacheTomcat權(quán)限許可和訪問控制漏洞(CVE-2014-0096)ApacheTomcat權(quán)限許可和訪問控制漏洞(CVE-2014-0119)ApacheTomcat輸入驗證漏洞(CVE-2013-4286)ApacheTomcat輸入驗證漏洞(CVE-2013-4322)ApacheTomcat整數(shù)溢出漏洞(CVE-2014-0099)ApacheTomcat資源管理錯誤漏洞ApacheTomcat表單認證用戶名枚舉漏洞ApacheTomcat參數(shù)處理拒絕服務(wù)漏洞(CVE-2012-0022)ApacheTomcat會話劫持漏洞(CVE-2010-4312)ApacheTomcat拒絕服務(wù)漏洞(CVE-2012-2733)ApacheTomcat拒絕服務(wù)漏洞(CVE-2014-0230)ApacheTomcat重復(fù)請求處理安全漏洞(CVE-2007-6286)ApacheTomcat主機管理器跨站腳本漏洞(CVE-2008-1947)1.2加固方案1.3回退方案1.4加固結(jié)果已經(jīng)加固NTP漏洞1.5漏洞清單序號漏洞信息影響范圍1NTPAutoKey惡意消息拒絕服務(wù)漏洞(CVE-2015-7691)NTPAutoKey惡意消息拒絕服務(wù)漏洞(CVE-2015-7692)NTPAutoKey惡意消息拒絕服務(wù)漏洞(CVE-2015-7702)NTPCRYPT0_ASS0C內(nèi)存泄漏導(dǎo)致拒絕服務(wù)漏洞(CVE-2015-7701)NTPKiss-o'-Death拒絕服務(wù)漏洞(CVE-2015-7704)NTPKiss-o'-Death拒絕服務(wù)漏洞(CVE-2015-7705)NTPMode7請求拒絕服務(wù)漏洞(CVE-2015-7848)NTP'ntp_request.c'遠程拒絕服務(wù)漏洞(CVE-2013-5211)【原理掃描】NTPntpd代碼注入漏洞(CVE-2014-9751)90

NTPntpd輸入驗證漏洞(CVE-2014-9750)NTPntpd緩沖區(qū)溢出漏洞(CVE-2015-7853)NTPntpd內(nèi)存破壞漏洞(CVE-2015-7849)NTPntpqatoascii()內(nèi)存破壞漏洞(CVE-2015-7852)NTPsaveconfig目錄遍歷漏洞(CVE-2015-7851)NTP口令長度內(nèi)存破壞漏洞(CVE-2015-7854)NTP配置指令覆蓋文件漏洞(CVE-2015-7703)NTP允許遠程配置拒絕服務(wù)漏洞(CVE-2015-7850)NTP長數(shù)據(jù)包拒絕服務(wù)漏洞(CVE-2015-7855)NTPDPRNG弱加密漏洞(CVE-2014-9294)NTPDPRNG無效熵漏洞(CVE-2014-9293)NTPD棧緩沖區(qū)溢出漏洞(CVE-2014-9295)NTPD棧緩沖區(qū)溢出漏洞(CVE-2014-9296)ntpd參考實現(xiàn)拒絕服務(wù)漏洞(CVE-2015-1799)1.6加固方案關(guān)閉現(xiàn)在NTP服務(wù)的monlist功能，在ntp.conf配置文件中增加“disablemonitor"選項:1.7回退方案開啟現(xiàn)在NTP服務(wù)的monlist功能，在ntp.conf配置文件中增加“disablemonitor"選項:

1.8加固結(jié)果已經(jīng)加固Openssh漏洞1.9漏洞清單序號漏洞信息影響范圍1OpensshMaxAuthTries限制繞過漏洞(CVE-2015-5600)OpenSSHroaming_common.c堆緩沖區(qū)溢出漏洞(CVE-2016-0778)OpenSSHsshdmm_answer_pam_free_ctx釋放后重利用漏洞(CVE-2015-6564)OpenSSH'x11openhelper()‘函數(shù)安全限制繞過漏洞(CVE-2015-5352)931.10加固方案1.11回退方案1.12加固結(jié)果1.12加固結(jié)果已經(jīng)加固4.Telnetd密鑰處理緩沖區(qū)溢出漏洞【原理掃描】1.13漏洞清單序號漏洞信息影響范圍1Telnetd密鑰處理緩沖區(qū)溢出漏洞【原理掃描】41.14加固方案在此網(wǎng)站下載補丁安裝即可/security/index.html1.15回退方案做好原版本的備份以便出現(xiàn)故障時能夠及時恢復(fù)1.16加固結(jié)果已經(jīng)加固猜測出遠程TELNET服務(wù)存在可登錄的用戶名口令1.17漏洞清單序號漏洞信息影響范圍1猜測出遠程TELNET服務(wù)存在可登錄的用戶名口令71.18加固方案更改telnet登錄口令為復(fù)雜的強登錄口令1.19回退方案不需要回退方案1.20加固結(jié)果已經(jīng)加固猜測出遠程SSH服務(wù)存在可登錄的用戶名口令1.21漏洞清單序號漏洞信息影響范圍1猜測出遠程SSH服務(wù)存在可登錄的用戶名口令71.22加固方案修改用戶口令，設(shè)置足夠強度的口令1.23回退方案不需要回退方案1.24加固結(jié)果已經(jīng)加固猜測出遠程FTP服務(wù)存在可登錄的用戶名口令1.25漏洞清單序號漏洞信息影響范圍1猜測出遠程FTP服務(wù)存在可登錄的用戶名口令41.26加固方案修改用戶口令，設(shè)置足夠強度的口令1.27回退方案不需要回退方案1.28加固結(jié)果已經(jīng)加固SunSolaris/bin/login驗證繞過漏洞1.29漏洞清單序號漏洞信息影響范圍1SunSolaris/bin/login驗證繞過漏洞7011.30加固方案補丁下載：注意：您必須安裝下面（1）中的安全補丁才可以徹底消除漏洞威脅，只安裝（2）中的補丁將不能防止本地用戶提升權(quán)限。（1） ./bin/login溢出漏洞OSVersionPatchIDSunOS5.10111085—02（2） .telnetd接受遠程TTYPROMPT環(huán)境變量漏洞（可選）OSVersionPatchID

SunOS5.10110668-03您可以使用下列鏈接來下載相應(yīng)補?。?pub—cgi/patchDownload.pl?target二〈補丁ID>&method二h1.31回退方案做好原版本備份以便及時恢復(fù)1.32加固結(jié)果1.32加固結(jié)果已經(jīng)加固FTP漏洞1.33漏洞清單序號漏洞信息影響范圍1vsftpdFTPServer'ls.c'遠程拒絕服務(wù)漏洞(CVE-2011-0762)遠稈主機存在LinuxFTP后門遠程FTP服務(wù)器根目錄匿名可寫47051.1加固方案1、 下載：軟件名為vsftpd-3.0.2.tar.gz的安裝包2、 編譯源代碼：tarxvzf vsftpd-3.0.2.tar.gz（解壓，并進入解壓后目錄vsftpd-3.0.2）makemakeinstall3、 安裝配置：cpvsftpd.conf/etccpvsftpd-3.0.2/vsftpd.pam/etc/pam.d/ftp（用戶身份識別）4、 編輯配置：用vi打開vsftpd.conf,默認的用不用管他了直接在最后一行加上Listen=YES（獨立的VSFTPD服務(wù)器）Anonymous二yes用#注釋掉5、啟動服務(wù):/usr/local/bin/vsftpd&用netstat-tnl查看，如果有21端口證明已經(jīng)安裝配置成功這個時候已經(jīng)能用FTP，但不能使用匿名訪問。6、 本地用戶名訪問：mkdir/var/ftpchownzc/var/ftpchowndmp/var/ftpchownwz/var/ftpchmodog-w/var/ftp這樣就能匿名訪問。如果還不清楚的話可以參考安裝幫助moreINSTALL7、 關(guān)閉匿名訪問配置ftp的驗證方式#vim/etc/pam.d/vsftpd將其改為：修改主配置文件，關(guān)閉匿名用戶將下面的語句加入即可：Anonymous_enable二no*取消根目錄的寫權(quán)限:#chownroot~ftp&&chmod0555~ftp8、開機自啟動chkconfigvsftpd—level3off或者直接修改/etc/xinetd.d/vsftpd文件，把disable二no改成disable二yes就行了！用vi打開、etc/rc.local在里面加入servicexinetdstop/usr/local/bin/vsftpd&即可。1.2回退方案做好vsftpd-2.0.5