centos7.4 安全漏洞修复-蒲公英云

centos7.4 安全漏洞修复

向右看齐 2022-12-29 12:44 432阅读 0赞

1.未设置密码尝试次数锁定

编辑以下文件/etc/pam.d/system-auth, /etc/pam.d/password-auth, /etc/pam.d/sshd, /etc/pam.d/login, /etc/pam.d/kscreensaver, /etc/pam.d/gdm-password，

在文件第一行加 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600

-——————————————————-多次密码锁住解决—————————————————————————————————————————————————————————————

查看用户登录失败次数：pam_tally2 —user root

解锁指定用户：pam_tally2 -r -u root

2.账号未设置密码过期时间

chage -M [days] [username]

3.未设置密码复杂度限制

编辑以下文件/etc/pam.d/system-auth，/etc/security/pwquality.conf（配置文件所配置的密码策略是否符合要求：密码最短长度为8，至少包含一个数字、一个大写字母、一个小写字母和一个特殊字符），

在文件第一行加password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

4.任意用户如果获知root密码均可su到root用户。

编辑/etc/pam.d/su文件，去掉注释auth required pam_wheel.so use_uid这句

5.套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。
OpenSSH 中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的身份验证请求发出不同的响应。攻击者可通过发送特制的请求利用该漏洞枚举用户名称。

升级openssh：yum update -y openssh

6.ImageMagick是美国ImageMagick Studio公司的一套开源的图象处理软件。该软件可读取、转换、写入多种格式的图片。
ImageMagick在coders/dds.c中的函数ReadDDSInfo中发现了CPU耗尽漏洞，它允许攻击者导致拒绝服务。

升级ImageMagick：yum update -y emacs-filesystem

7.Sudo是一套用于类Unix操作系统下并允许用户通过安全的方式使用特殊的权限执行命令的程序。
Sudo中存在权限绕过漏洞，当sudo配置为允许用户通过Runas规范中定义的ALL关键字来以任意用户身份运行命令的话，那么攻击者将有可能通过制定用户ID -1或4294967295来以root权限执行恶意命令。这可以允许具有足够sudo特权的用户以root身份运行命令，即使Runas规范明确禁止root访问。

升级sudo：yum update -y sudo