用户注册



邮箱:

密码:

用户登录


邮箱:

密码:
记住登录一个月 忘记密码?

发表随想


还能输入:200字

小蜜锋    -  云代码空间

—— 技术宅拯救世界!

阿里云安骑士centOS6漏洞修复命令【​不用升级“企业版”】

2018-03-30 | 65阅 | |

摘要: 阿里云漏洞修复不用升级“企业版”也可使用 RHSA-2017:1365: nss security and bug fix update (Important) 软件: nss 3.21.0-17.el7 命中: nss version less than 0:3.28.4

阿里云漏洞修复

不用升级“企业版”也可使用

RHSA-2017:1365: nss security and bug fix update (Important)
软件: nss 3.21.0-17.el7
命中: nss version less than 0:3.28.4-1.2.el7_3
yum update nss
yum update nss-sysinit
yum update nss-tools

RHSA-2017:1100: nss and nss-util security update (Critical)
软件: nss-util 3.21.0-2.2.el7_2
命中: nss-util version less than 0:3.28.4-1.0.el7_3
yum update nss-util
yum update nss
yum update nss-sysinit
yum update nss-tools

RHSA-2017:2292: gnutls security, bug fix, and enhancement update (Moderate)
软件: gnutls 3.3.24-1.el7
命中: gnutls version less than 0:3.3.26-9.el7
yum update gnutls

RHSA-2017:0086: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.6.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2016:2615: bind security update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-38.el7_3
yum update bind-libs-lite
yum update bind-license

RHSA-2017:1680: bind security and bug fix update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-50.el7_3.1
yum update bind-libs-lite
yum update bind-license

RHSA-2017:1308: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.21.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:0062: bind security update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-38.el7_3.1
yum update bind-libs-lite
yum update bind-license

RHSA-2017:0386: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.10.2.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:1095: bind security update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-38.el7_3.3
yum update bind-libs-lite
yum update bind-license

RHSA-2017:2299: NetworkManager and libnl3 security, bug fix and enhancement update (Moderate)
软件: libnl3 3.2.28-2.el7
命中: libnl3 version less than 0:3.2.28-4.el7
yum update libnl3
yum update libnl3-cli
yum update NetworkManager
yum update NetworkManager-libnm
yum update NetworkManager-team
yum update NetworkManager-tui
yum update NetworkManager-wifi

RHSA-2017:1615: kernel security and bug fix update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.26.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:1842: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-693.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:0933: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.16.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf


2018年3月25日更新


RHSA-2017:3075: wget security update
CVE-2017-13090 高危CVE-2017-13089 高危 GNU Wget缓冲区溢出漏洞
软件: wget 1.14-15.el7
命中: wget version less than 0:1.14-15.el7_4.1
yum update wget


基线检查

Centos7系统基线合规检测

检查项: 系统crontab权限设置
加固建议: 依次执行:
rm -f /etc/cron.deny
rm -f /etc/at.deny
touch /etc/cron.allow
touch /etc/at.allow
chmod 0600 /etc/cron.allow
chmod 0600 /etc/at.allow

检查项: 禁止转发ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.all.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加

检查项: 禁止转发ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.default.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加

检查项: 禁止包含源路由的ip包
加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加

检查项: 禁止包含源路由的ip包
加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加

检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加

检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加

检查项: 启用反转地址路径过滤
加固建议: 执行sysctl -w net.ipv4.conf.all.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.rp_filter=1,不存在则添加

检查项: 启用反转地址路径过滤
加固建议: 执行sysctl -w net.ipv4.conf.default.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.rp_filter=1,不存在则添加

检查项: 禁止ipv6路由广播
加固建议: 执行sysctl -w net.ipv6.conf.all.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加

检查项: 禁止ipv6路由广播
加固建议: 执行sysctl -w net.ipv6.conf.default.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加

检查项: 禁止ipv6路由重定向
加固建议: 执行sysctl -w net.ipv6.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加

检查项: 禁止ipv6路由重定向
加固建议: 执行sysctl -w net.ipv6.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加

检查项: 密码授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同

检查项: 系统授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同

检查项: rsyslog日志文件权限配置
加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640

检查项: 禁止root直接登录
加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no

检查项: 默认登录端口检测
加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值

检查项: SSHD强制使用V2安全协议
加固建议: 在/etc/ssh/sshd_config中取消Protocol注释符号#

检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#

检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数

检查项: 清理主机远程登录历史主机记录
加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#

检查项: 禁止主机认证登录
加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#

检查项: 禁止空密码用户登录
加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#

检查项: 禁止用户修改环境变量
加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#

检查项: 设置输入密码间隔时间
加固建议: 在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数

检查项: 设置用户密码最小长度
加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上

检查项: 设置用户密码数字位数
加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字

检查项: 设置用户密码大写字母位数
加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母

检查项: 设置用户密码小写字母位数
加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母

检查项: 设置用户密码特殊字符位数
加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符

检查项: 强制密码失效时间
加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值365

检查项: 密码修改最小间隔时间
加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7

检查项: 设置有密码账户不活动最大时间
加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天

检查项: 检查/boot/grub2/grub.cfg文件ACL属性
加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg

检查项: 检查/etc/crontab文件ACL属性
加固建议: 执行:chmod 0600 /etc/crontab

检查项: 检查/etc/cron.hourly文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.hourly

检查项: 检查/etc/cron.daily文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.daily

检查项: 检查/etc/cron.weekly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.weekly

检查项: 检查/etc/cron.monthly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.monthly

检查项: 检查/etc/cron.d 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.d

SSH登录基线检测
检测项目: port
当前值: 该项不存在
建议值: 设置为非22
建议 : 修改登录端口为非默认22端口
检测项目: permitrootlogin
当前值: yes
建议值: 设置为no
建议 : 没有必要使用root用户通过SSH远程登录,普通用户可以通过su或sudo(推荐)获得root级别的访问权

密码策略合规检测
检测项目: 密码最长使用时间
建议: 在/etc/login.defs 设置密码最长使用时间,建议值1095
检测项目: 密码修改最小间隔时间
建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
检测项目: 设置有密码账户不活动最大时间
建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天

via: http://www.stumblingblock.cn/3102.html

顶 0 踩 0 收藏
分享到:
更多
文章评论
发表评论

个人资料

  • 昵称: 小蜜锋
  • 等级: 高级设计师
  • 积分: 7674
  • 代码: 750 个
  • 文章: 357 篇
  • 随想: 211 条
  • 访问: 947 次
  • 关注

标签

设计模式(4) java(9) 命名规范(2) 广告创意(1) 愤怒的小鸟(1) 游戏(5) jsp(1) 配置(1) Surface(1) windows(1) javabean(1) 设计方法(1) 开发工具(2) web(4) 大数据(2) GPU(1) 硬盘(1) 内部结构(1) 黑客(1) 窃取(1) 编码(1) 解决方法(1) php(28) mysql(9) 数据库备份(1) 数据库还原(1) 命令(2) 数据库(1) 安装(1) 2012(2) 世界末日(3) 仙剑5前传(1) 默哀(1) 电源(1) 女生(1) 装饰器模式(2) 古剑奇谭(1) 电脑桌(1) 史上最牛(1) 编程语言(2) 小米(3) 电视机顶盒(1) 营销策略(1) Android(8) 手势(1) 诺亚方舟(1) Eclipse(1) 汽车(1) 操作系统(1) 软件(1) 互联网(5) 大事记(1) 设计师(2) 壁纸(1) 古剑奇谭2(1) 古剑奇谭网络版(1) 云计算(2) 服务器(1) 框架(2) Socket(1) jquery(1) 构造函数执行顺序(1) 火车票(1) 3D(1) 数据中心(2) 正则表达式(2) Web前端(1) 开发框架(1) 系统瘫痪(1) 12306(2) cpu(1) javascript(2) 开发日记(15) 体育馆管理系统(15) 网页设计(1) CSS3(3) 腾讯(3) 小游戏(1) interface(1) 平板(2) 面试(2) 设计(5) 摄影(2) 数据挖掘(1) 钢琴谱(1) 情人节(1) 陈欧体(1) 程序员(3) 漫画(1) UserAgent(1) iPhone(2) NoSQL(1) ui(9) 越狱(1) 指南(1) abstract(1) css(3) git(2) 八核(2) 三星(1) linux(11) 数据类型(1) html5(2) UML(2) perftools(1) 创意(1) logo(1) 色谱(1) 响应式(5) Metro(2) 虚拟机(1) jvm(1) 垃圾回收(1) left(1) join(1) 连接查询(1) 溯源系统(1) Override(1) SAE(2) WordPress(1) 指针(1) 链表(1) 系统分析师(1) 中间件(1) corba(1) static(1) 无线(1) 监控(1) iPad(1) Apache(2) 比特币(2) 命名规则(1) 手机支付(1) curl(3) 笔记(1) 导航(1) thinkphp(1) 异常导致本地路径泄漏(1) web设计(1) 网络安全(1) 诗句(1) 4K对齐(1) 代码库(1) 色彩(1) 动画片(1) struts2(3) 漏洞(5) 确认框(1) 心情驿站(1) ArscEditor(1) resources.(1) apktool(1) AppKey(1) 新浪微博(1) app(5) 广告(3) 赚钱(1) 响应式布局(1) html(1) 淘宝(2) 微信(1) 重构(5) 缓存(1) 破解(1) 后门(1) 七夕(1) SEO(2) 概念设计(1) 面向对象(1) bootstrap(1) 性能(2) 优化(1) iis(1) 爬虫(1) 采集(1) 算法(2) 文本相似度(2) cto(1) js(1) fsockopen(1) 扁平化设计(2) 网页(1) 心情(7) 小米电视(1) 开箱(1) 励志(2) 招聘(3) 命名(1) notepad++(1) python(1) 配色(3) 扁平化(4) ps(2) 搞笑(2) 创业(3) 渲染(1) 电影(1) 模板(1) 微博(1) 企业家(1) 公司(1) 总结(1) 前端(1) 运营(1) 变形(1) svn(4) 教程(3) 搜狗(1) 泄密(1) 双11(1) 天猫(1) UC(1) 启动界面(1) 光棍节(1) 双十一(2) 物流(1) 备份(1) 更新(1) 插入(1) 插件(2) jsTree(1) (1) 海量数据(1) 分辨率(1) 草图(1) 手绘(1) 速度(1) 文本处理(1) 实习(1) 感想(1) 文件(1) 简历(1) 65.49.2.17(1) yum(1) 解决办法(1) 阿里云(2) 推广(1) 来往(1) 春运(1) LBS(1) gb2312(1) utf-8(1) log4j(1) 详解(1) 收购(1) 私服(1) TortoiseGi(1) post(1) 异常(2) flappyBird(1) 应用创新大赛(1) 宙斯杯(1) 学习方法(1) xp(1) 退役(1) 安全(1) 技术贴(1) flash(1) 刷机(1) 京东(1) 电商(1) Tomcat(1) JDK(1) 免费(1) 长投影(1) 图标(1) Photoshop(1) 云端集成开发环境(1) 软件开发(1) 可视化(1) 工具(2) OpenSSL(1) Heartbleed(1) vsftp(1) 中国知网(1) 学术论文(1) 免费下载(1) 开发(1) 手册(1) 速查表(1) 追随战略(1) sdk(1) 文章(1) 发布(1) 文件管理(1) 沙画(1) 动效(2) 原型(1) 感悟人生(1) 哲理(1) Bash(1) 类图(1) 知识管理(1) Console(1) 调试命令(1) rpm(1) 报错(1) 挂载(1) 数据盘(1) 云主机(1) 产品经理(1) 原型设计(1) mql4(1) mt4(1) ea(1) 程序化交易(1) CURLOPT_PO(1) 阿里云​(1) CentOS6(2) OpenSSH(1) 漏洞修复(2) 升级(1) 安骑士(1)

站长推荐