如何制止OpenSSH漏洞

试试腾讯电脑管家，会根据你的系统环境智能筛选，若是发现不适用于你的系统环境的漏洞补丁也会智能忽略，将因补丁引起问题的机率较到最低。而至于磁盘空间的占用你是不用担心的，补丁备份所占用的空间并不高，你可以在清理垃圾后选择深度清理，然后选择Windows Update或自动更新数据库文件进行清理。至于系统性能，则正常情况下基本上不受影响。

检测到远端XFS服务正在运行中漏洞

临时关闭fsauto服务：

可以通过编辑/etc/inetdconf文件，重新启动Inetd进程来关闭fsauto服务：

1 注释/etc/inetdconf文件中的如下一行：

#fs              stream  tcp    wait nobody /usr/openwin/lib/fsauto    fs

2 重新启动inetd进程：

# ps -elf |grep inetd

    root  138    1  0  Oct 15         0:00 /usr/sbin/inetd

# kill -1 138

solaris 查找文件 find命令

1 find命令格式

 find: [-H | -L] 路径列表 谓词列表

 可以使用：man find 查看命令选项。

2 通过文件名查找法：

 如果你把这个文件放在单个的文件夹里面，只要使用常见的“ls"命令就能方便的查找出来，如果知道了某个文件的文件名，而不知道这个文件放到哪个文件夹，甚至是层层套嵌的文件夹里。举例说明，假设你忘记了sshd_config（ssh 服务器 的配置文件）这个文件在系统的哪个目录下，甚至在系统的某个地方也不知道，则这是可以使用如下命令

find / -name sshd_config 

 这个命令语法看起来很容易就明白了，就是直接在find后面写上 -name，表明要求系统按照文件名查找，最后写上httpdconf这个目标文件名即可。稍等一会系统会在计算机 屏幕 上显示出查找结果列表：

 #find / -name sshd_config

 /var/sadm/pkg/SUNWsshdr/save/pspool/SUNWsshdr/reloc/etc/ssh/sshd_config 

  /etc/ssh/sshd_config 

 如果输入以上查找命令后系统并没有显示出结果，那么不要以为系统没有执行find/ -name sshd_config 命令，而可能是你的系统中没有安装ssh 服务器 ，这时只要你安装了ssh服务器，然后再使用find / -name sshd_config 就能找到这个配置文件了。 

服务器支持 TLS Client-initiated 重协商攻击 (CVE-2011-1473)

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。

重协商就是大部分TLS连接都以handshake为开始，经过应用数据的交换，最后关闭会话。如果在第一次handshake之后（可能经历了应用数据的交换也可能没有）请求重新协商，就会发起一次新的handshake，对新的安全参数达成一致

关闭命令：ssl renegotiation disable

远端rsh 服务允许部分用户登录。需要禁止rsh 服务 。

方法：

cat /rhosts 查看是否有 + 号，意思是允许所有其他机器访问。 我们主要VI编辑将+去掉即可。（该配置文件，其做用就是控制访问IP）

因为RSH服务不能控制入访因此我们需要禁用内网所有主机的出访服务

禁用RSH出访服务 svcadm disable svc:/network/shell:default

禁用rlogin服务 svcadm disable svc:/network/login:rlogin

检测到远端rsh 服务正在运行中。禁用RSH 服务，改用SSH 代替 。

方法：

1、vi /rhosts 去掉其中的+号

2、vi /etc/default/login

CONSOLE=/dev/console 将这一行#注释掉。

因为RSH服务不能控制入访因此我们需要禁用内网所有主机的出访服务

3、禁用RSH出访服务 svcadm disable svc:/network/shell:default

4、禁用rlogin服务 svcadm disable svc:/network/login:rlogin

SSL 30 POODLE攻击信息泄露漏洞(CVE-2014-3566)

现场次漏洞只存在于服务器，后又发现此漏洞依赖于服务器的5989端口，可以在防火墙禁用此端口或杀掉此进程

方法一 编辑： vi /etc/sysconfig/iptables

添加：-A INPUT -p tcp --dport 5989 -j DROP

-A INPUT -p tcp --sport 5989 -j DROP

重启网络服务：service iptables restart

方法二 根据netstat –tunlp|grep 5989 查找PID ，pwdxPID查看程序路径，如没问题则可以杀死此进程。

POODLE = Padding Oracle On Downgraded Legacy Encryption是最新安全漏洞(CVE-2014-3566)的代号，俗称“贵宾犬”漏洞。 此漏洞是针对 SSL 30中CBC模式加密算法的一种padding oracle攻击，可以让攻击者获取 SSL 通信中的部分信息明文，如果将明文中的重要部分获取了，比如cookie,session，则信息的安全出现了隐患。

从本质上说，这是 SSL 设计上的缺陷， SSL 先认证再加密是不安全的。

修复措施：

禁用sslv3协议

不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器：

注意：nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法，请升级最新版本。

（openssl101+版本支持TLS11和TLS12协议）

ssl_protocols TLSv1 TLSv11 TLSv12; 

ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers  on;

apache服务器：

注意：apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法，请升级最新版本。

（openssl101+版本支持TLS11和TLS12协议）

apache2X版本：

SSLProtocol  all -SSLv2 -SSLv3

SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL

SSLHonorCipherOrder on

Tomcat服务器：

JDK版本过低也会带来不安全漏洞，请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。

（先备份再配置，低版本的配置后有启动不了的风险，请升级tomcat和jdk版本，JDK17及以上支持TLS12协议）

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="keystore/domainjks"  keystorePass="证书密码"

clientAuth="false" sslProtocol="TLS"

ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

TLS_RSA_WITH_AES_128_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

TLS_RSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

SSL_RSA_WITH_3DES_EDE_CBC_SHA,

                        TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat（windows环境路径请使用“\”，证书文件是for apache压缩包中的三个文件）

maxThreads="150"

protocol="orgapachecoyotehttp11Http11AprProtocol"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

SSLEnabled="true"

SSLProtocol="all -SSLv2 -SSLv3"

SSLCertificateFile="conf/domiancomcrt"

SSLCertificateKeyFile="conf/domiancomkey"

SSLCertificateChainFile="conf/root_bundlecrt"

               SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />