全国产飞腾模块麒麟信安操作系统安全漏洞

1、背景介绍

目前在全国产飞腾模块上部署了麒麟信安操作系统,经第三方机构检测存在以下漏洞

操作系统版本为

内核版本为

openssh版本为

2、openssh CBC模式漏洞解决

首先查看ssh加密信息

bash 复制代码
nmap --script "ssh2*" 127.0.0.1 | grep -i cbc

可以通过修改/etc/ssh/sshd_config中Ciphers那行进行解决

3、Tracerouter探测漏洞解决

首先关闭探测,如果防火墙没打开首先输入下面两行打开防火墙

bash 复制代码
systemctl enable firewalld
systemctl restart firewalld
bash 复制代码
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 0 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 3 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

重新载入防火墙配置

bash 复制代码
firewall-cmd --reload

查看防火墙规则

bash 复制代码
firewall-cmd --direct --get-all-rules

如果之前已设置可以通过下面命令删除原有配置

4、SSH版本信息可被获取漏洞解决

解决方案就是自定义Banner来代替系统默认的Banner,保证SSH信息不被泄露,

创建Banner文件

bash 复制代码
touch /etc/ssh/ssh_banner
echo "Wecome to use ssh" > /etc/ssh/ssh_banner

修改sshd_config配置文件

bash 复制代码
vim /etc/ssh/sshd_config

查询到 #Banner none,在其下面指定banner文件的路径

修改完后重启sshd服务

bash 复制代码
systemctl restart sshd

用其他主机ssh,验证配置

补充说明:其实第ssh漏洞应该也可以通过关闭ssh服务来解决,具体见之前写的一篇博文

湖南麒麟SSH服务漏洞_麒麟系统漏洞-CSDN博客

相关推荐
神经毒素9 小时前
WEB安全--文件上传漏洞--一句话木马的工作方式
网络·安全·web安全·文件上传漏洞
杭州默安科技10 小时前
大模型AI Agent的工作原理与安全挑战
人工智能·安全
易保山15 小时前
MIT6.S081 - Lab6 Copy-on-Write(写时复制)
linux·操作系统·c
rockmelodies17 小时前
OpenSCAP 是一个基于开源的安全合规性自动化框架
安全·开源·自动化
赴前尘17 小时前
Go+Gin实现安全多文件上传:带MD5校验的完整解决方案
安全·golang·gin
IT成长日记17 小时前
Elasticsearch安全加固指南:启用登录认证与SSL加密
安全·elasticsearch·ssl
半路_出家ren17 小时前
网络安全设备介绍:防火墙、堡垒机、入侵检测、入侵防御
安全·网络安全·负载均衡·堡垒机·防火墙·网络安全设备·上网行为管理
IT程序媛-桃子17 小时前
【网安面经合集】42 道高频 Web 安全面试题全解析(附原理+防御+思路)
运维·网络·安全·面试
予安灵17 小时前
《白帽子讲 Web 安全》之服务端请求伪造(SSRF)深度剖析:从攻击到防御
前端·安全·web安全·网络安全·安全威胁分析·ssrf·服务端请求伪造
蒜白18 小时前
27--当路由器学会“防狼术“:华为设备管理面安全深度解剖(完整战备版)
网络·安全·网络工程师·交换机