当前位置: 首页 > news >正文

门户网站二级等保评测问题,服务器漏洞问题解决办法

news 2025/8/30 5:33:57

二级等保查出来的服务器问题

操作前可在自己服务器测试一下,看看有没有用

1.服务器定时更换密码

永久(需重启)
vim /etc/login.defs
PASS_MAX_DAYS 90  # 密码最长过期天数
PASS_MIN_DAYS 0  # 密码最小过期天数
PASS_MIN_LEN  10  # 密码最小长度
PASS_WARN_AGE  15  # 密码过期警告天数
临时(直接生效)
chage -m 1 root
chage -M 1 root
chage -W 2 root     # 过期前几天提醒

2.登录失败,限制登录

vim /etc/pam.d/system-auth
auth required pam_tally2.so  onerr=fail  deny=5  unlock_time=300 even_deny_root root_unlock_time=300
vim /etc/pam.d/sshd
auth required pam_tally2.so  onerr=fail  deny=5  unlock_time=300 even_deny_root root_unlock_time=300

3.超时退出

vim /etc/profile
打开以下设置
export TMOUT=300
保存退出并刷新
source /etc/profile

4.日志审计

vim /etc/audit/relus.d/audit.rules-w /etc/shadow -p wa -k shadow_changes
-w /etc/securetty -p wa -k securetty_changes
-w /etc/group -p wa -k group_changes# 日志位置
vim /etc/audit/auditd.conflog_file = /path/to/your/logfileservice auditd restart

5.禁用远程root登录

vi /etc/ssh/sshd_config
# 修改为下面这个
PermitRootLogin noservice sshd restart

6. SSH版本信息可被获取

# 创建banner文件;如果有就不需要创建了
touch /etc/ssh/ssh_banner
# 写入登陆时要显示的banner信息
echo "Wecome to use system" > /etc/ssh/ssh_banner
# 编辑文件,添加banner文件路径
vim /etc/ssh/sshd_config
# 找到 #Banner none在下面添加路径;
# Banner none
Banner /etc/ssh/ssh_banner
# 重启ssh
systemctl restart sshd

7.ICMP timestamp请求响应漏洞

在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文。

# 查看当前策略
iptables -L -niptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type timestamp-reply -j DROP

8.允许Traceroute探测

在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。

iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROPiptables -A INPUT -p ICMP --icmp-type echo-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROPiptables -A INPUT -p ICMP --icmp-type destination-unreachable -j DROP
iptables -A OUTPUT -p ICMP --icmp-type destination-unreachable -j DROP

9. OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161)

man sshd_config
echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config
systemctl restart sshd
http://www.lryc.cn/news/250032.html

相关文章:

  • NPDP考前注意事项,这些细节你可要注意!
  • 八个优秀开源内网穿透工具
  • C语言贪吃蛇(有详细注释)
  • MUI框架从新手入门【webapp开发教程】
  • HNU-计算机网络-讨论课2
  • 西南科技大学信号与系统A实验一(信号的产生与时域运算)
  • 代码随想录二刷 |字符串 |翻转字符串里的单词
  • 低调使用。推荐一个 GPT4 Turbo、Vision、GPTs、DELL·E3 等所有最新功能同步可用国内网站
  • 基于视觉传感器的自主扫雷机器人设计与实现
  • 计算机新建盘符和重新分配盘符的大小
  • windows 查看mysql的错误日志
  • java多线程CountDownLatch简单测试
  • npm,yarn,pnpm 清理缓存
  • 【数据结构】二叉排序树(c风格、结合c++引用)
  • SpringCloudSleuth+Zipkin 整合及关键包汇总
  • 腾讯面试笔试题2023.11.30
  • cesium 融合视频
  • 微信小程序踩坑记录
  • H5 uniapp 接入wx sdk
  • ubuntu离线安装包
  • 电脑如何录音?适合初学者的详细教程
  • 从零开始的C++(二十)
  • shell编程系列(8)-使用sed处理文本
  • NDK是什么?有什么用?需要掌握什么技术栈?
  • 《代码长寿经:程序员养生指南》
  • 统计素数并求和(Python)
  • 新建的springboot项目中application.xml没有绿色小叶子(不可用)
  • powershell获取微软o365 21v日志
  • 整体迁移SVN仓库到新的windows服务器
  • D365 CRM Power Platform 后端开发概览