电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 404|回复: 0

服务器解决低危漏洞方法

[复制链接]
admin 发表于 2023-6-6 21:23:24 | 显示全部楼层 |阅读模式
1.允许Traceroute探测
描述:本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

处理:

iptables -I INPUT -p icmp --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

还一种办法:

   在防火墙中禁用Time Exceeded类型的ICMP包

Iptables防火墙
sudo iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
sudo iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
sudo service iptables save
sudo service iptables restart

2.ICMP timestamp请求响应漏洞
描述:远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。 这可能允许攻击者攻击一些基于时间认证的协议。

处理:

iptables -I INPUT -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP

iptables -I INPUT -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP



3.探测到SSH服务器支持的算法
描述:本插件用来获取SSH服务器支持的算法列表

处理:无法处理。ssh协议协商过程就是服务端要返回其支持的算法列表。



4.SSH版本信息可被获取
描述:SSH服务允许远程攻击者获得ssh的具体信息,如版本号等等。这可能为攻击者发动进一步攻击提供帮助。

处理:无法处理。sshd_config中的Banner项只是ssh主机前输出的信息,源码处理机制就是telnet其端口就会返回版本信息。

5、SSH限制IP登录

vim /etc/hosts.allow
加入你允许访问你主机的IP
sshd:192.168.10.88:allow
据说支持 192.168.1.0/24 这种掩码的写法,但是我测试了不行,写成 192.168.1.* 是可以的
vim /etc/hosts.deny
sshd:ALL:deny
---------------------

firewall-cmd --zone=public  --remove-port=22/tcp --permanent

firewall-cmd --reload





您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-23 13:11 , Processed in 0.094454 second(s), 22 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表