Linux下漏洞整改方案

一.nginx版本漏洞

Nginx默认是显示版本号

curl -I http://192.168.252.135:8000/----后面为nginx站点地址

这样暴露出来的版本号就容易变成攻击者可利用的信息。所以，从安全的角度来说，隐藏版本号会相对安全些！

隐藏nginx版本号

1.进入nginx配置文件的目录，打开配置文件，修改， vi nginx.conf
在http {—}里加上server_tokens off; 如：

2、编辑php-fpm配置文件，如fastcgi.conf或fcgi.conf（这个配置文件名也可以自定义的，根据具体文件名修改）：

♥vi fastcgi.conf ♥

nginx/$nginx_version; 修改为 nginx;

3、重新加载nginx配置：
重启nginx服务
或者

再次测试一下

这样就完全对外隐藏了nginx版本号了，就是出现404、501等页面也不会显示nginx版本。

详细参考：http://www.ttlsa.com/nginx/hidden-nginx-version/

二.CentOS7修复几个ICMP漏洞

1.ICMP timestamp请求响应漏洞

描述：
远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。 这可能允许者一些基于时间认证的协议
修复：
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP

2.允许Traceroute探测漏洞

描述：
本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。或者也可以利用这些信息来了解目标网络的网络拓扑
修复：
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

3.重新加载防火墙

注意：
修改完记得reload下
firewall-cmd --reload

4.查看添加的规则

firewall-cmd --direct --get-all-rules

5.漏洞测试

5.1.ICMP timestamp请求响应漏洞

参考 https://blog.csdn.net/q1007729991/article/details/72600130
下载好软件，通过make编译好；漏洞前后对比如下图

5.2.允许Traceroute探测漏洞

暂无方法
转载于:https://blog.51cto.com/jinkcloud/2411144