门户网站二级等保评测问题，服务器漏洞问题解决办法

二级等保查出来的服务器 问题

1.服务器 定时 更换 密码

永久（需重启）
vim /etc/login.defs
PASS_MAX_DAYS 90  # 密码最长过期天数
PASS_MIN_DAYS 0  # 密码最小过期天数
PASS_MIN_LEN  10  # 密码最小长度
PASS_WARN_AGE  15  # 密码过期警告天数
临时（直接生效）
chage -m 1 root
chage -M 1 root
chage -W 2 root     # 过期前几天提醒

2.登录 失败，限制 登录

vim /etc/pam.d/system-auth
auth required pam_tally2.so  onerr=fail  deny=5  unlock_time=300 even_deny_root root_unlock_time=300
vim /etc/pam.d/sshd
auth required pam_tally2.so  onerr=fail  deny=5  unlock_time=300 even_deny_root root_unlock_time=300

3.超时 退出

vim /etc/profile
打开以下设置
export TMOUT=300
保存退出并刷新
source /etc/profile

4.日志审计

vim /etc/audit/relus.d/audit.rules

-w /etc/shadow -p wa -k shadow_changes
-w /etc/securetty -p wa -k securetty_changes
-w /etc/group -p wa -k group_changes

# 日志位置
vim /etc/audit/auditd.conf

log_file = /path/to/your/logfile

service auditd restart

5.禁用远程 ro ot登录

vi /etc/ssh/sshd_config
# 修改为下面这个
PermitRootLogin no

service sshd restart

6. SSH版本信息可被获取

# 创建banner文件；如果有就不需要创建了
touch /etc/ssh/ssh_banner
# 写入登陆时要显示的banner信息
echo "Wecome to use system" &gt; /etc/ssh/ssh_banner
# 编辑文件，添加banner文件路径
vim /etc/ssh/sshd_config
# 找到 #Banner none在下面添加路径；
# Banner none
Banner /etc/ssh/ssh_banner
# 重启ssh
systemctl restart sshd

7.ICMP timestamp 请求 响应 漏洞

在您的防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文。

# 查看当前策略
iptables -L -n

iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type timestamp-reply -j DROP

8.允许Traceroute探测

在防火墙出站规则中禁用echo–re ply（type 0）、time–exceeded（type 11）、dest inati on-unreachable（type 3）类型的ICMP包。

iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP

iptables -A INPUT -p ICMP --icmp-type echo-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROP

iptables -A INPUT -p ICMP --icmp-type destination-unreachable -j DROP
iptables -A OUTPUT -p ICMP --icmp-type destination-unreachable -j DROP

9. OpenSSH CBC模式 信息 泄露 漏洞(CVE-2008-5161)

man sshd_config
echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' &gt;&gt; /etc/ssh/sshd_config
systemctl restart sshd

原文地址:https://blog.csdn.net/daitu_/article/details/134706277

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。

如若转载，请注明出处：http://www.7code.cn/show_19797.html

如若内容造成侵权/违法违规/事实不符，请联系代码007邮箱：suwngjj01@126.com进行投诉反馈，一经查实，立即删除！

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

pass 服务器过期

二级等保查出来的服务器问题

1.服务器定时更换密码

2.登录失败，限制登录

3.超时退出

4.日志审计

5.禁用远程root登录

6. SSH版本信息可被获取

7.ICMP timestamp请求响应漏洞

8.允许Traceroute探测

9. OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161)

相关文章

发表回复 取消回复

5.禁用远程 ro ot登录

7.ICMP timestamp 请求响应漏洞

发表回复取消回复