等保安全修复
2020-09-16 本文已影响0人
随便写点什么就好
每年公司服务器有这种等保就要进行大规模服务器修复,提前做好一下规划可以规避很多麻烦.
- 通用的软件版本隐藏版本号的就隐藏版本号. 比如nginx,apache,mysql,php.
- 不要开启不必要的服务,比如nfs
- 不要用标准的ssh端口,其他软件应用适合换端口的就换. ssh这种版本漏洞是必然存在.
- 基本上公司都用了模板或者初始化脚本,一开始做好规划可以省很多功夫. 比如开始用虚拟机模板开启cpu内存热添加,linux磁盘空间都挂根分区,用lvm. windows虚拟机一个分区一个盘.
apache隐藏版本号
修改httpd.conf 文件
[root@design155 ~]# curl -i http://192.168.10.155
HTTP/1.1 302 Found
Date: Wed, 16 Sep 2020 02:20:34 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Set-Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22fb523594c46f3ea454041c2f1731641e%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A14%3A%22192.168.10.155%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A102%3A%22curl%2F7.19.7+%28x86_64-redhat-linux-gnu%29+libcurl%2F7.19.7+NSS%2F3.14.0.0+zlib%2F1.2.3+libidn%2F1.18+libssh2%2F1.4.2%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1600222834%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7D8a4e57da890975aae3b109b2c59be707; expires=Wed, 16-Sep-2020 04:20:34 GMT; path=/
Location: http://192.168.10.155/index.php/admin/login/index
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
[root@design155 ~]# apachectl -t
Syntax OK
[root@design155 ~]# apachectl graceful
[root@design155 ~]# curl -i http://192.168.10.155
HTTP/1.1 302 Found
Date: Wed, 16 Sep 2020 02:25:43 GMT
Server: Apache
X-Powered-By: PHP/5.3.3
Set-Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22cf9aec568cd5e2a6df56449eee0cab4e%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A14%3A%22192.168.10.155%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A102%3A%22curl%2F7.19.7+%28x86_64-redhat-linux-gnu%29+libcurl%2F7.19.7+NSS%2F3.14.0.0+zlib%2F1.2.3+libidn%2F1.18+libssh2%2F1.4.2%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1600223143%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7D4211edcd14bdcc5dd3e0dfc10d18de13; expires=Wed, 16-Sep-2020 04:25:43 GMT; path=/
Location: http://192.168.10.155/index.php/admin/login/index
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
nginx隐藏版本号
https://blog.csdn.net/weixin_42104231/article/details/83653987
php-fpm隐藏版本号
vi /etc/php.ini
expose_php = Off #修改
tomcat升级
tomcat升级很简单, 把一般tomcat7,8,9版本都下载一个当前大版本的最新小版本就可以了. 把原来的tomcat目录改名,新的tomcat目录放到原来的位置.把conf和webapps目录拷贝回来,和原来启动用户授权一下就可以了.
mysql隐藏版本号
mysql会有很多版本漏洞,反正不是最新的版本就是有漏洞的.
- 编译安装的,可以在安装前改一下文件再编译.
- 已经安装好的, 网上都是sed强制替换mysqld的.
