Red Hat Linux 6.5脆弱性
3987 ワード
脆弱性1:ICMP timestampリクエスト応答
解決:
pingコマンドは、ネットワーク検出によく使用され、2台のホスト間で通信可能かどうかを決定します.ICMP(Internet制御メッセージプロトコル)を使用しています.ホストを保護するために、ICMPプロトコルを無効にして、他のホストがサーバに攻撃することを防止します.プロファイルを使用して、このプロトコルを即時に禁止することができます.
方法一、ICMPプロトコルを一時的に禁止する
システムのデフォルトではICMPプロトコルが許可されています.rootユーザーを使用して、/proc/sys/net/ipv 4/icmp_を構成します.echo_ignore_all、すなわち設定ファイルにおける無視icmpメッセージのパラメータは1であり、具体的なコマンドは以下の通りである.
# echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all# cat /proc/sys/net/ipv4/icmp_echo_ignore_all1
このパラメータが1の場合、ICMPメッセージのすべての要求を無視することを禁止することを示す.
システムのデフォルト値は0で、他のホストのpingが許可されていることを示します.
このとき、他のホストでpingすると、「リクエストタイムアウト」の結果が表示されます.
方法2:ファイアウォール構成の編集
IptablesファイアウォールはLinuxカーネルに統合されたIPパケットフィルタリングシステムである.方法2は上記の方法と組み合わせて使用できません.使用方法2において既に使用方法1は禁止する.
Ping禁止、入力:
-A INPUT -p icmp --icmp-type timestamp-request -j DROP
-A INPUT -p icmp --icmp-type timestamp-reply -j DROP
脆弱性2:Tracerouteプローブを許可する
-A FORWARD -p icmp -j DROP
-A FORWARD -p icmp --icmp-type 11 -j DROP
脆弱性3:リモートでTelnetサービスが実行されていることを検出
解決:telnetサービスのアンインストール
yum remove telnet
yum list
脆弱性4:リモートRPCBIND/PORTMAPが稼働中であることを検出(CVE-1999-0632)
停止コマンド
service nfslock stop
chkconfig nfslock off
rpcbindサービス停止コマンド
service portmap stop
脆弱性5:遠端rpcが検出された.statdサービスは稼働中です
(プロジェクトグループとNFSを使用していないことを確認してから操作)
脆弱性6:リモートサーバでEPMDサービスが実行されている
解決:erlangサービスのアンインストール
find/-name "erlang"
rm -rf
脆弱性7:リモートMySQL/MariaDB/Percona Serverバージョンの漏洩
脆弱性8:opensshバージョン
脆弱性9:ZooKeeperがアクセスを許可していない【原理スキャン】
ZooKeeperのアクセス権を設定します.
方式1:1)認証ユーザaddauth digestユーザ名:パスワード明文eg.addauth digest user 1:password 1を追加する
2)設定権限setAcl/path auth:ユーザー名:パスワード明文:権限eg.setAcl/test auth:user 1:password 1:cdrwa
3)Acl設定getAcl/pathの表示
方式2:setAcl/path digest:ユーザー名:パスワード暗号文:権限
ステップ1:cdからzookeeperのbinディレクトリで実行:./zkCli.sh-server localhost:2181第2歩:車に戻るクリック後、ノードパスを表示する(例えばdubboが検出された):ls/第3歩:ユーザーの作成:addauth digest test:test 123第4歩:操作権限の追加(/dubboが第2歩で検出された):setAcl/zookeeper auth:test:test:test 123:cdrwa
ステップ5:ノードの表示:getAcl/zookeeper
authとdigestはユーザー名とパスワード方式で有効に権限制御を行うことができ、アプリケーションではdubooとzookeeperを組み合わせているため、Dubboは認証の論理を実現していないというネットユーザーがおり、実際のテストでは確かに登録できないことが分かった.
次のエラーが表示されます.
java.lang.IllegalStateException: Failed to register
cause: org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for/dubbo/com.common.crud.IEntityDao
参考資料:
https://yq.aliyun.com/articles/284281?utm_content=m_37169
3、最後にIP制限方式しか残っておらず、IPホワイトリストを通じてZKに接続するクライアントを制限する.
操作手順:
zookeeperはノード間権限の継承をサポートしていないため、キーノードの権限制御が必要です.
現在は「/」、「/dubbo」、「/zookeeper」のみが制限されています.
脆弱性10:Zookeeperリモート情報漏洩【原理スキャン】
解決:
pingコマンドは、ネットワーク検出によく使用され、2台のホスト間で通信可能かどうかを決定します.ICMP(Internet制御メッセージプロトコル)を使用しています.ホストを保護するために、ICMPプロトコルを無効にして、他のホストがサーバに攻撃することを防止します.プロファイルを使用して、このプロトコルを即時に禁止することができます.
方法一、ICMPプロトコルを一時的に禁止する
システムのデフォルトではICMPプロトコルが許可されています.rootユーザーを使用して、/proc/sys/net/ipv 4/icmp_を構成します.echo_ignore_all、すなわち設定ファイルにおける無視icmpメッセージのパラメータは1であり、具体的なコマンドは以下の通りである.
# echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all# cat /proc/sys/net/ipv4/icmp_echo_ignore_all1
このパラメータが1の場合、ICMPメッセージのすべての要求を無視することを禁止することを示す.
システムのデフォルト値は0で、他のホストのpingが許可されていることを示します.
このとき、他のホストでpingすると、「リクエストタイムアウト」の結果が表示されます.
方法2:ファイアウォール構成の編集
IptablesファイアウォールはLinuxカーネルに統合されたIPパケットフィルタリングシステムである.方法2は上記の方法と組み合わせて使用できません.使用方法2において既に使用方法1は禁止する.
Ping禁止、入力:
-A INPUT -p icmp --icmp-type timestamp-request -j DROP
-A INPUT -p icmp --icmp-type timestamp-reply -j DROP
-A: .
INPUT: .
-p icmp: ICMP .
--icmp-type timestamp-reply: ICMP timestamp-reply.
-j: , ,"DROP" .脆弱性2:Tracerouteプローブを許可する
-A FORWARD -p icmp -j DROP
-A FORWARD -p icmp --icmp-type 11 -j DROP
脆弱性3:リモートでTelnetサービスが実行されていることを検出
解決:telnetサービスのアンインストール
yum remove telnet
yum list
脆弱性4:リモートRPCBIND/PORTMAPが稼働中であることを検出(CVE-1999-0632)
停止コマンド
service nfslock stop
chkconfig nfslock off
rpcbindサービス停止コマンド
service portmap stop
脆弱性5:遠端rpcが検出された.statdサービスは稼働中です
(プロジェクトグループとNFSを使用していないことを確認してから操作)
# /etc/init.d/portmap stop && chkconfig portmap off
# /etc/init.d/rpcidmapd stop && chkconfig rpcidmapd off
# /etc/init.d/nfslock stop && chkconfig nfslock off脆弱性6:リモートサーバでEPMDサービスが実行されている
解決:erlangサービスのアンインストール
find/-name "erlang"
rm -rf
脆弱性7:リモートMySQL/MariaDB/Percona Serverバージョンの漏洩
脆弱性8:opensshバージョン
#rpm -qa|grep openssh脆弱性9:ZooKeeperがアクセスを許可していない【原理スキャン】
ZooKeeperのアクセス権を設定します.
方式1:1)認証ユーザaddauth digestユーザ名:パスワード明文eg.addauth digest user 1:password 1を追加する
2)設定権限setAcl/path auth:ユーザー名:パスワード明文:権限eg.setAcl/test auth:user 1:password 1:cdrwa
3)Acl設定getAcl/pathの表示
方式2:setAcl/path digest:ユーザー名:パスワード暗号文:権限
ステップ1:cdからzookeeperのbinディレクトリで実行:./zkCli.sh-server localhost:2181第2歩:車に戻るクリック後、ノードパスを表示する(例えばdubboが検出された):ls/第3歩:ユーザーの作成:addauth digest test:test 123第4歩:操作権限の追加(/dubboが第2歩で検出された):setAcl/zookeeper auth:test:test:test 123:cdrwa
ステップ5:ノードの表示:getAcl/zookeeper
authとdigestはユーザー名とパスワード方式で有効に権限制御を行うことができ、アプリケーションではdubooとzookeeperを組み合わせているため、Dubboは認証の論理を実現していないというネットユーザーがおり、実際のテストでは確かに登録できないことが分かった.
次のエラーが表示されます.
java.lang.IllegalStateException: Failed to register
cause: org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for/dubbo/com.common.crud.IEntityDao
参考資料:
https://yq.aliyun.com/articles/284281?utm_content=m_37169
3、最後にIP制限方式しか残っておらず、IPホワイトリストを通じてZKに接続するクライアントを制限する.
操作手順:
zookeeperはノード間権限の継承をサポートしていないため、キーノードの権限制御が必要です.
現在は「/」、「/dubbo」、「/zookeeper」のみが制限されています.
/bin/
./zkCli.sh -server ip:port
setAcl / ip:xx.xx.xx.152:cdrwa,ip:xx.xx.xx.151:cdrwa,ip:xx.xx.xx.156:cdrwa
setAcl /dubbo ip:xx.xx.xx.152:cdrwa,ip:xx.xx.xx.151:cdrwa,ip:xx.xx.xx.156:cdrwa
setAcl /zookeeper ip:xx.xx.xx.152:cdrwa,ip:xx.xx.xx.151:cdrwa,ip:xx.xx.xx.156:cdrwa 脆弱性10:Zookeeperリモート情報漏洩【原理スキャン】