当前位置:
  1. 首页
  2. linux
  3. 正文
本文介绍: 操作过程中要边操作验证,切记不要关闭打开窗口,保持开启,即使操作错误了,这个窗口也不会自动断开,还可以自行修复,否则就无法连接,直接找人吧。这就没辙了,只能限制服务器端口访问了,但是服务器不是我方管的,只能审慎执行命令,不然登不上去了还得找别人给帮忙处理。这个命令就是删除iptables -L列出的命令,后面数字为L列出来的顺序建议从下往上删,绿盟扫出来的漏洞,但是禁用scp漏洞复扫还是有这个漏洞查询版本SSH版本也是没问题的。验证1022端口是否连接可以的话回到上一步。

背景

漏洞名称:OpenSSH 命令注入漏洞(CVE-2020-15778)
详细描述:OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组的一套用于安全访问远程计算机连接工具。该工具是SSH协议开源实现支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击
OpenSSH 9.0p1及之前版本中的scpscp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造执行命令过程中,网络系统或产品未正确过滤其中的特殊元素攻击者可利用该漏洞执行非法命令
解决方法
厂商补丁:目前厂商暂未发布修复措施解决安全问题,建议使用软件用户随时关注厂商主页或参考网址获取解决办法
https://www.openssh.com/
临时缓解措施:可以禁用scp,改用rsync等缓解风险(可能会导致小文件机器拷贝变慢)

绿盟扫出来的漏洞,但是禁用scp漏洞复扫还是有这个漏洞,查询版本SSH版本也是没问题
在这里插入图片描述
这就没辙了,只能限制服务器端口访问了,但是服务器不是我方管的,只能审慎执行命令,不然登不上去了还得找别人给帮忙处理

解决方式

1、换端口

就是把22端口换成其他端口

##查看firewall配置清单
firewall-cmd --list-all
##查到为关闭态,启动防火墙
systemctl status firewalld.service

## 添加端口这里从25到65535的tcpudp都开起来,除了2181 
firewall-cmd --zone=public --add-port=25-65535/tcp --permanent
firewall-cmd --zone=public --add-port=25-65535/udp --permanent
##重新加载
firewall-cmd --reload
##查看firewall配置清单
firewall-cmd --list-all

然后修改

 vi /etc/ssh/sshd_config


这里修改
1022端口自定义

Port 22
Port 1022
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

然后

 ##重启sshd服务
 systemctl reload sshd.service

验证1022端口是否连接,可以的话回到上一步
改成

#Port 22
Port 1022
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

然后

 ##重启sshd服务
 systemctl reload sshd.service

这样22端口就替换为1022端口了

2、限制固定服务器访问22端口

上面换端口麻烦是需要修改ssh客户端端口,不修改端口可以限制访问策略
操作过程中要边操作验证,切记不要关闭打开窗口,保持开启,即使操作错误了,这个窗口也不会自动断开,还可以自行修复,否则就无法连接,直接找人吧。
验证方式是通过另开端口方式验证是否可以再次访问验证成功后再继续操作

##查看当前iptables规则显示当前防火墙规则列表
iptables -L
##允许指定IP地址访问22端口
iptables -A INPUT -p tcp -s 134.1.1.111 --dport 22 -j ACCEPT
##允许指定IP网段地址访问22端口
iptables -A INPUT -p tcp -s 134.1.1.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 10.1.1.0/24 --dport 22 -j ACCEPT
##拒绝其他IP地址访问22端口
iptables -A INPUT -p tcp --dport 22 -j DROP


##待确认
##保存设置并重新加载iptables规则
service iptables save
service iptables restart

##如果上面两条命令显示服务存在,可以安装iptables服务
yum install iptables-services
##上面执行后,在执行保存和重启,试过好像不保存重启也行
##保存完是更新到下面文件,可查看保存效果
vi /etc/sysconfig/iptables

后续添加可以直接在这个文件里添加,然后 service iptables restart 重启即可
在这里插入图片描述

[root@xxxxx ~]# service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.
[root@xxxxx ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
Failed to restart iptables.service: Unit iptables.service not found.
[root@xxxxx ~]# yum install iptables-services
Last metadata expiration check: 0:34:19 ago on Wed 29 Nov 2023 02:47:39 AM CST.
Dependencies resolved.
========================================================================================================================================
 Package                              Architecture              Version                                 Repository                 Size
========================================================================================================================================
Installing:
 iptables-services                    x86_64                    1.8.4-10.0.1.an8.4                      BaseOS                     60 k

Transaction Summary
========================================================================================================================================
Install  1 Package

Total size: 60 k
Installed size: 20 k
Is this ok [y/N]: y
Downloading Packages:
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                                                                                1/1 
  Installing       : iptables-services-1.8.4-10.0.1.an8.4.x86_64                                                                    1/1 
  Running scriptlet: iptables-services-1.8.4-10.0.1.an8.4.x86_64                                                                    1/1 
  Verifying        : iptables-services-1.8.4-10.0.1.an8.4.x86_64                                                                    1/1 

Installed:
  iptables-services-1.8.4-10.0.1.an8.4.x86_64                                                                                           

Complete!
[root@xxxxx ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@xxxxx ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
[root@xxxxx ~]# vi /etc/sysconfig/iptables

附:删除命令
这个命令就是删除iptables -L列出的命令,后面数字为L列出来的顺序,建议从下往上删,
保存到/etc/sysconfig/iptables后就不再追加了

iptables -D INPUT 1

参考:

核心参考
禁用linux系统默认的22端口号
linux防火墙设置指定ip访问22端口

其他参考:
【Linux安全管理】Firewalld详解
Linux系统iptables命令详解
centos7使用firewalld限制ip登陆22端口
Linux系统通过firewall限制或开放端口
防火墙firewall rich-rule规则排序限制IP访问端口

显示所有内容
上一篇 Linux 网络配置
下一篇 消失的数字,旋转数组(leetcode 一题多解)

相关文章

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

插入图片
浏览器会保存昵称、邮箱和网站cookies信息,下次评论时使用。