AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

主机安全漏洞解决方案

2023-02-24 177
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
简介: 主机安全漏洞解决方案

前几天发了一篇等保2.0的文章,文章里面提到,相比于等保1.0标准,等保2.0很大幅度上对安全通用要求的一些控制项做了大幅精简,但是等保二级的要求仍多达135项、等保三级多达211项。


https://mp.weixin.qq.com/s/kEUQ77WYeGGrTtM7_ShHyA


本文主要就系统漏洞展开,用一次真实软件的部署过程来简单说一下系统安全漏洞的检查与规避方法。


二级等保的基线判分标准中关于主机或系统漏洞的要求项共有四点:

1677205331168.jpg

三级等保的基线判分标准中关于主机或系统漏洞的要求项增加了两点:

1677205342595.jpg

总结一下,关于主机系统或网络安全,应该做到以下几个方面:


1、从源头开始控制。如最小化安装系统、严格控制开启服务,保证服务器未运行多余的或者存在风险的服务;


2、从传播途径中进行控制。如配置访问控制,如果服务器上有针对内外网不同的服务,可以通过限制访问进行网络阻断,只允许特定主机或网络访问指定服务器的指定服务或端口;


3、要定期进行网络漏洞扫描及安全检查,及时处理掉发现的问题,同时对检查和处理结果进行归档,以备查验;


4、对关键业务系统、配置等要有数据备份,同时要建立完善的工作管理机制文档、应急处置预案等资料体系。


1、新装操作系统检查


实验环境下使用最小化安装部署了一台CentOS操作系统,部署完成之后使用漏洞扫描工具先扫描默认状态下的系统健康情况:

1677205362311.jpg

1677205367362.jpg

可以看到,主要是SSH的漏洞,因为最小化安装后服务器开启服务少。尝试先升级SSH版本。先更新yum list到最新。

查看当前SSH版本:

1677205384690.jpg

更新SSH版本:

[root@localhost itac]# yum install -y openssh

1677205391816.jpg

再次执行扫描任务,主机状态如下:

1677205415685.jpg

1677205421394.jpg


发现只剩下7.5及之后的中风险漏洞。一般的扫描引擎是更新到7.5以后就没问题了,所以yum源最新的版本能满足大多数客户要求。最好是能升级到最新版本(查询到最新版本已经是8.0p1),但是要到yum源站去下载rpm包,上传到服务器再进行安装更新,有兴趣的小伙伴可以操作一下。


同理,可以使用yum update -y一次性将系统中所有安装组件的版本更新到最新,但是在有业务的前提下不建议这么操作,因为业务上对版本可能有依赖关系,需要慎重操作。


2、使用脚本安装软件


安装完成之后使用云漏扫扫描主机状态:

1677205467917.jpg

1677205473875.jpg

发现问题主要集中在tomcat组件和PHP组件上,但是这些组件部署在docker里面,没有访问权限,需要跟随软件版本一同更新,所以无法做升级处理,很大程度上存在安全隐患。


同时发现不同厂商扫描规则略有不同,主要体现在扫描方式、规则库、关注信息的不同上,同样操作系统用绿盟的漏洞扫描系统进行扫描,除前示信息展示外,还有一项状态信息展示:

1677205490954.jpg

3、修改防火墙策略


当前系统安装完成之后默认防火墙是打开的,但是部署脚本关闭了防火墙:

1677205504580.jpg

还好SSH不受防火墙的影响,可以直接开启防火墙:

1677205510308.jpg

开启完成之后扫描一次,发现大部分漏洞都因为防火墙无法访问被限制住了,但是连系统信息也获取不到了:

1677205523154.jpg

1677205528427.jpg

看一下防火墙的规则:

1677205533279.jpg

没有任何规则,现在这种情况下,去打开软件的服务端口TCP 8080-8083是不可能的,需要增加放通规则。但是出于安全考虑,建议只放通几个IP的全部访问,一个IP是需要登录控制这台服务器的主机,一般是你正在使用的主机IP;另外就是需要和软件发生联系的IP地址,一般包括其他访问该服务器的主机IP和该服务器需要访问的IP地址。命令如下:


/

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.20.100" port protocol="tcp" port="0-65535" accept"
# 以本机IP地址172.16.20.100为例
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.88.200.254" port protocol="tcp" port="0-65535" accept"
#假设还有一台IP地址为10.88.200.254的主机需要和该服务器互相访问

之后按照软件的服务需求再添加入栈策略规则,该软件作为日志接收和FTP服务器,需要开启UDP 514端口和TCP 20、21端口:

firewall-cmd --zone=public --add-port=514/udp –-permanent
firewall-cmd --zone=public --add-port=20/tcp –-permanent
firewall-cmd --zone=public --add-port=21/tcp –-permanent

注意重新加载以激活配置:

firewall-cmd --reload

命令行操作效果:

1677205582089.jpg

查看结果:

1677205586842.jpg

测试从本地访问软件的8080页面:

1677205592573.jpg

在本地几个页面均能正常访问,再使用云漏扫测试一下,发现漏洞呗规避。这其中主要的原因就是漏扫服务器无法访问到主机的这些业务端口,所以也就无从获取到主机的漏洞信息。

1677205602008.jpg

使用上述方法进行配置,可以保证一些主要业务需求的正常访问,同时安全性较高,能够有效降低扫描中出现漏洞或者风险。但是在条件允许的情况下还是建议对涉及的安全漏洞进行打补丁或者升级,毕竟打铁还要自身硬;自己没毛病,才能他强任他强,清风拂山岗。


关于网络部分配置的内容,后面会放到配置合规检查中进行介绍,欢迎持续关注。


文章标签:
云防火墙
PHP
容器
应用服务中间件
Linux
网络安全
数据安全/隐私保护
网络协议
Docker
安全
学校暗杀-11881
目录
相关文章
科技小能手
|
网络协议 Linux 网络虚拟化
DHCP攻击的实施与防御
科技小能手
2761 0
warmhearted
|
3月前
|
存储 监控 安全
常用的网络安全工具有哪些?
【8月更文挑战第7天】
warmhearted
188 4
请看我回答~
|
3月前
|
SQL 安全 算法
网络防线之下:探索网络安全漏洞与信息安全策略
【8月更文挑战第23天】在数字化浪潮中,网络安全成为保护个人隐私和企业资产的关键。本文将深入探讨网络安全的薄弱环节,揭示加密技术的重要性,并强调提升安全意识的必要性。通过分析常见漏洞案例,我们将理解如何构建坚固的防御体系,以应对日益复杂的网络威胁。
请看我回答~
34 0
韩曙亮
|
安全 网络安全 数据安全/隐私保护
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
韩曙亮
1092 0
mrq4nk6ni2neg
|
6月前
|
存储 安全 算法
网络防御先锋:揭秘网络安全漏洞与加固信息防线
【5月更文挑战第15天】在数字时代的风口浪尖,网络安全已成为维护信息完整性、确保数据流通安全的关键。本文将深入探讨网络安全中存在的漏洞、加密技术的进展以及提升安全意识的重要性,旨在为读者构建一道坚固的信息防线提供知识支持和实践指导。
mrq4nk6ni2neg
50 2
德迅云安全陈琦琦
|
6月前
|
人工智能 安全 网络安全
服务器网络安全防护措施有哪些?
服务器网络安全防护措施有哪些?
德迅云安全陈琦琦
448 5
一只正
|
SQL 安全 网络协议
《网络安全0-100》网络安全工具
《网络安全0-100》网络安全工具
一只正
23374 7
python进阶者
|
SQL 存储 监控
盘点那些年我们一起玩过的网络安全工具
盘点那些年我们一起玩过的网络安全工具
python进阶者
427 0
盘点那些年我们一起玩过的网络安全工具
阿里云小秘
|
SQL 安全 前端开发
网站10大常见安全漏洞及解决方案
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。 1. SQL注入 安全等级 几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。
阿里云小秘
1965 0
上云小马达
|
SQL 安全 Java
运用网站漏洞扫描提高业务与主机安全
什么是漏洞? 在阿里云,漏洞通过威胁高低被分为应急漏洞、高危漏洞、中危漏洞、低危漏洞。威胁类型分为资产漏洞、安全违法违规内容(如暴力恐怖、涉政、色情内容等)、网页篡改、挂马暗链、垃圾广告。 漏洞具体是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
上云小马达
1231 0

热门文章

最新文章

  • 1
    Flutter之禅 内存优化篇
  • 2
    《Cadence 16.6电路设计与仿真从入门到精通》——2.4 Design Entry CIS原理图图形界面 
  • 3
    记一次对网络抖动经典案例的分析
  • 4
    国外成人网站xHamster大量用户信息黑市变卖,部分账号涉及英美政府官员
  • 5
    用户密码以BCrypt加密的方式来防范被破解
  • 6
    带你理清CPU,cache和存储器之间的逻辑运作
  • 7
    Git设置代理服务器
  • 8
    【DSW Gallery】PAI-DSW开通及授权
  • 9
    吐血整理:机器学习的30个基本概念,都在这里了(手绘图解)
  • 10
    MOSS站点的迁移(备份还原)
  • 1
    设计模式之 5 大创建型模式,万字长文深剖 ,近 30 张图解!
    46
  • 2
    《C++新特性:为多线程数据竞争检测与预防保驾护航》
    40
  • 3
    Kotlin - 区间与数组
    40
  • 4
    Kotlin - 参数与异常
    39
  • 5
    Kotlin - 运算符与中缀表达式
    34
  • 6
    Kotlin - 函数与Lambda表达式
    22
  • 7
    Kotlin - 分支与循环
    18
  • 8
    天气预报1天-中国气象局-地址查询版免费API接口教程
    20
  • 9
    《C++智能合约与区块链底层交互全解析:构建坚实的去中心化应用桥梁》
    19

    • 相关课程

    更多
  • 系统安全及业务安全
  • 互联网安全-移动APP漏洞风险与解决方案
  • 阿里云数据安全怎么管理数据资产和数据防护?
  • Linux高级网络应用 - 网络管理与配置实战
  • 数据库安全
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • 内存取证与IaaS云平台恶意行 为的安全监控
  • 内存取证与IaaS云平台恶意行为的安全监控
  • 每个威胁都不是独立存在的

    • 相关实验场景

    更多
  • 物联网设备安全:实时检测7类安全风险(Agentless)
  • 1分钟代码漏洞自动检测
    • 下一篇
    阿里云OSS设置跨域访问