全国产飞腾模块麒麟信安操作系统安全漏洞

1、背景介绍

目前在全国产飞腾模块上部署了麒麟信安操作系统,经第三方机构检测存在以下漏洞

操作系统版本为

内核版本为

openssh版本为

2、openssh CBC模式漏洞解决

首先查看ssh加密信息

bash 复制代码
nmap --script "ssh2*" 127.0.0.1 | grep -i cbc

可以通过修改/etc/ssh/sshd_config中Ciphers那行进行解决

3、Tracerouter探测漏洞解决

首先关闭探测,如果防火墙没打开首先输入下面两行打开防火墙

bash 复制代码
systemctl enable firewalld
systemctl restart firewalld
bash 复制代码
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 0 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 3 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

重新载入防火墙配置

bash 复制代码
firewall-cmd --reload

查看防火墙规则

bash 复制代码
firewall-cmd --direct --get-all-rules

如果之前已设置可以通过下面命令删除原有配置

4、SSH版本信息可被获取漏洞解决

解决方案就是自定义Banner来代替系统默认的Banner,保证SSH信息不被泄露,

创建Banner文件

bash 复制代码
touch /etc/ssh/ssh_banner
echo "Wecome to use ssh" > /etc/ssh/ssh_banner

修改sshd_config配置文件

bash 复制代码
vim /etc/ssh/sshd_config

查询到 #Banner none,在其下面指定banner文件的路径

修改完后重启sshd服务

bash 复制代码
systemctl restart sshd

用其他主机ssh,验证配置

补充说明:其实第ssh漏洞应该也可以通过关闭ssh服务来解决,具体见之前写的一篇博文

湖南麒麟SSH服务漏洞_麒麟系统漏洞-CSDN博客

相关推荐
wanhengidc6 分钟前
云手机可以息屏挂手游吗?
运维·网络·安全·游戏·智能手机
码熔burning13 分钟前
Spring Security 深度学习(六): RESTful API 安全与 JWT
安全·spring·restful·springsecurity
m0_738120721 小时前
CTFshow系列——PHP特性Web93-96
开发语言·安全·web安全·php·ctfshow
Zacks_xdc2 小时前
【前端】使用Vercel部署前端项目,api转发到后端服务器
运维·服务器·前端·安全·react.js
盟接之桥4 小时前
盟接之桥说制造:在安全、确定与及时之间,构建品质、交期与反应速度的动态平衡
大数据·运维·安全·汽车·制造·devops
Suckerbin5 小时前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
喜葵5 小时前
前端安全防护深度实践:从XSS到供应链攻击的全面防御
前端·安全·xss
泰迪智能科技7 小时前
案例分享|企微智能会话风控系统:为尚丰盈铝业筑牢沟通安全防线
安全·企业微信
lingggggaaaa8 小时前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb
MoloXuanhe9 小时前
[TryHackMe]Wordpress: CVE-2021-29447(wp漏洞利用-SSRF+WpGetShell)
运维·网络·安全·tryhackme·thm