系统安全加固方案-5
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统安全加固方案
文档说明
1. Apache漏洞
1.1 漏洞清单
3/34
1.2 加固方案
1.3 回退方案
1.4 加固结果
已加固
2. openssh漏洞
2.1 漏洞清单
4/34
2.2 加固方案
第一步准备安装包
1.1、确定操作系统
uname -a
lsb_release -a(suse)
cat /etc/issue(redhat)
1.2、将所需安装包上传到服务器
zlib-1.2.8.tar.gz
5/34
openssl-1.0.1p.tar.gz
openssh-7.1p1.tar.gz
相关下载:、、、
//先把所有安装文件上传服务器,再卸载ssh,要不文件上传非常麻烦,在系统镜像中找到gcc安装包一并上传,大部分make失败都是gcc未安装或者安装不全造成。
第二步准备好其他远程方式
2.1、此项可选择telnet或者vnc来进行远程操作
安装telnet服务,telnet安装rpm包对应操作系统ISO文件里面提取,建议不要跨操作系统版本安装,减少未知问题。
vi /etc/xinetd.d/ekrb5-telnet
disable = yes改成no。
service xinetd restart
vi /etc/securetty加入
pts/0
pts/1
pts/2
pts/3
6/34
vi /etc/pam.d/login文件注释掉:
#auth [user_unknown=ignore success=ok ignore=ignore
#auth_err=die default=bad] pam_securetty.so
//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。
第三步程序升级
3.1、停止SSHD服务
/sbin/service sshd stop (要确保sshd服务停止)
3.2、备份启动脚本
cp /etc/init.d/sshd /root/
3.3、卸载系统里原有Openssh
rpm –qa openssh //查询系统原安装的openssh包,全部卸载。
rpm -e openssh --nodeps
rpm -e openssh-server --nodeps
rpm -e openssh-clients --nodeps
rpm -e openssh-askpass
3.4、解压安装zlib包:
7/34
tar -zxvf zlib-1.2.8.tar.gz //首先安装zlib库,否则会报zlib.c错误无法进行cd zlib-1.2.8
./configure
make&&make install
//yum list | gerp zlib先查看是否已经安装,已安装跳过这一步。
无法编译安装,尝试安装如下
yum install -y gcc g++ gcc-c++ make
yum -y install zlib-devel
3.5、解压安装openssl包:
tar -zxvf openssl-1.0.1p.tar.gz
cd openssl-1.0.1p
./config shared zlib
make
make test
make install
mv /usr/bin/openssl /usr/bin/openssl.OFF
mv /usr/include/openssl /usr/include/openssl.OFF
8/34
//该步骤可能提示无文件,忽略即可
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
//移走原先系统自带的openssl,将自己编译产生的新文件进行链接。
3.6、配置库文件搜索路径
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
/sbin/ldconfig -v
openssl version -a
OpenSSL 1.0.1s 19 Mar 2015
built on: Sat Mar 21 04:11:47 2015
platform: linux-x86_64
options: bn(64,64) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/local/ssl
9/34