Linux下漏洞整改方案
一.nginx版本漏洞
Nginx默认是显示版本号
curl -I http://192.168.252.135:8000/----后面为nginx站点地址
这样暴露出来的版本号就容易变成攻击者可利用的信息。所以,从安全的角度来说,隐藏版本号会相对安全些!
隐藏nginx版本号
1.进入nginx配置文件的目录,打开配置文件,修改, vi nginx.conf
在http {—}里加上server_tokens off; 如:
2、编辑php-fpm配置文件,如fastcgi.conf或fcgi.conf(这个配置文件名也可以自定义的,根据具体文件名修改):
♥vi fastcgi.conf ♥
nginx/$nginx_version; 修改为 nginx;
3、重新加载nginx配置:
重启nginx服务
或者
再次测试一下
这样就完全对外隐藏了nginx版本号了,就是出现404、501等页面也不会显示nginx版本。
详细参考:http://www.ttlsa.com/nginx/hidden-nginx-version/
二.CentOS7修复几个ICMP漏洞
1.ICMP timestamp请求响应漏洞
描述:
远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。 这可能允许者一些基于时间认证的协议
修复:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0
-p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP
timestamp" -j DROP firewall-cmd --permanent --direct --add-rule ipv4
filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment
"deny ICMP timestamp" -j DROP
2.允许Traceroute探测漏洞
描述:
本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。或者也可以利用这些信息来了解目标网络的网络拓扑
修复:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0
-p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP
3.重新加载防火墙
注意:
修改完记得reload下
firewall-cmd --reload
4.查看添加的规则
firewall-cmd --direct --get-all-rules
5.漏洞测试
5.1.ICMP timestamp请求响应漏洞
参考 https://blog.csdn.net/q1007729991/article/details/72600130
下载好软件,通过make编译好;漏洞前后对比如下图
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!