用户注册



邮箱:

密码:

用户登录


邮箱:

密码:
记住登录一个月忘记密码?

发表随想


还能输入:200字

小蜜锋    -  云代码空间

—— 技术宅拯救世界!

阿里云安骑士centOS6漏洞修复命令【​不用升级“企业版”】

2018-03-30|4025阅||

摘要:阿里云漏洞修复不用升级“企业版”也可使用 RHSA-2017:1365: nss security and bug fix update (Important) 软件: nss 3.21.0-17.el7 命中: nss version less than 0:3.28.4

阿里云漏洞修复

不用升级“企业版”也可使用

RHSA-2017:1365: nss security and bug fix update (Important)
软件: nss 3.21.0-17.el7
命中: nss version less than 0:3.28.4-1.2.el7_3
yum update nss
yum update nss-sysinit
yum update nss-tools

RHSA-2017:1100: nss and nss-util security update (Critical)
软件: nss-util 3.21.0-2.2.el7_2
命中: nss-util version less than 0:3.28.4-1.0.el7_3
yum update nss-util
yum update nss
yum update nss-sysinit
yum update nss-tools

RHSA-2017:2292: gnutls security, bug fix, and enhancement update (Moderate)
软件: gnutls 3.3.24-1.el7
命中: gnutls version less than 0:3.3.26-9.el7
yum update gnutls

RHSA-2017:0086: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.6.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2016:2615: bind security update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-38.el7_3
yum update bind-libs-lite
yum update bind-license

RHSA-2017:1680: bind security and bug fix update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-50.el7_3.1
yum update bind-libs-lite
yum update bind-license

RHSA-2017:1308: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.21.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:0062: bind security update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-38.el7_3.1
yum update bind-libs-lite
yum update bind-license

RHSA-2017:0386: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.10.2.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:1095: bind security update (Important)
软件: bind-libs-lite 9.9.4-37.el7
命中: bind-libs-lite version less than 32:9.9.4-38.el7_3.3
yum update bind-libs-lite
yum update bind-license

RHSA-2017:2299: NetworkManager and libnl3 security, bug fix and enhancement update (Moderate)
软件: libnl3 3.2.28-2.el7
命中: libnl3 version less than 0:3.2.28-4.el7
yum update libnl3
yum update libnl3-cli
yum update NetworkManager
yum update NetworkManager-libnm
yum update NetworkManager-team
yum update NetworkManager-tui
yum update NetworkManager-wifi

RHSA-2017:1615: kernel security and bug fix update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.26.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:1842: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-693.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf

RHSA-2017:0933: kernel security, bug fix, and enhancement update (Important)
软件: kernel-tools 3.10.0-514.el7
命中: kernel-tools version less than 0:3.10.0-514.16.1.el7
yum update kernel-tools
yum update kernel-tools-libs
yum update python-perf


2018年3月25日更新


RHSA-2017:3075: wget security update
CVE-2017-13090 高危CVE-2017-13089 高危 GNU Wget缓冲区溢出漏洞
软件: wget 1.14-15.el7
命中: wget version less than 0:1.14-15.el7_4.1
yum update wget


基线检查

Centos7系统基线合规检测

检查项: 系统crontab权限设置
加固建议: 依次执行:
rm -f /etc/cron.deny
rm -f /etc/at.deny
touch /etc/cron.allow
touch /etc/at.allow
chmod 0600 /etc/cron.allow
chmod 0600 /etc/at.allow

检查项: 禁止转发ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.all.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加

检查项: 禁止转发ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.default.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加

检查项: 禁止包含源路由的ip包
加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加

检查项: 禁止包含源路由的ip包
加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加

检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加

检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加

检查项: 启用反转地址路径过滤
加固建议: 执行sysctl -w net.ipv4.conf.all.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.rp_filter=1,不存在则添加

检查项: 启用反转地址路径过滤
加固建议: 执行sysctl -w net.ipv4.conf.default.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.rp_filter=1,不存在则添加

检查项: 禁止ipv6路由广播
加固建议: 执行sysctl -w net.ipv6.conf.all.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加

检查项: 禁止ipv6路由广播
加固建议: 执行sysctl -w net.ipv6.conf.default.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加

检查项: 禁止ipv6路由重定向
加固建议: 执行sysctl -w net.ipv6.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加

检查项: 禁止ipv6路由重定向
加固建议: 执行sysctl -w net.ipv6.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加

检查项: 密码授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同

检查项: 系统授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同

检查项: rsyslog日志文件权限配置
加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640

检查项: 禁止root直接登录
加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no

检查项: 默认登录端口检测
加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值

检查项: SSHD强制使用V2安全协议
加固建议: 在/etc/ssh/sshd_config中取消Protocol注释符号#

检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#

检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数

检查项: 清理主机远程登录历史主机记录
加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#

检查项: 禁止主机认证登录
加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#

检查项: 禁止空密码用户登录
加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#

检查项: 禁止用户修改环境变量
加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#

检查项: 设置输入密码间隔时间
加固建议: 在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数

检查项: 设置用户密码最小长度
加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上

检查项: 设置用户密码数字位数
加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字

检查项: 设置用户密码大写字母位数
加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母

检查项: 设置用户密码小写字母位数
加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母

检查项: 设置用户密码特殊字符位数
加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符

检查项: 强制密码失效时间
加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值365

检查项: 密码修改最小间隔时间
加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7

检查项: 设置有密码账户不活动最大时间
加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天

检查项: 检查/boot/grub2/grub.cfg文件ACL属性
加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg

检查项: 检查/etc/crontab文件ACL属性
加固建议: 执行:chmod 0600 /etc/crontab

检查项: 检查/etc/cron.hourly文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.hourly

检查项: 检查/etc/cron.daily文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.daily

检查项: 检查/etc/cron.weekly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.weekly

检查项: 检查/etc/cron.monthly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.monthly

检查项: 检查/etc/cron.d 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.d

SSH登录基线检测
检测项目: port
当前值: 该项不存在
建议值: 设置为非22
建议 : 修改登录端口为非默认22端口
检测项目: permitrootlogin
当前值: yes
建议值: 设置为no
建议 : 没有必要使用root用户通过SSH远程登录,普通用户可以通过su或sudo(推荐)获得root级别的访问权

密码策略合规检测
检测项目: 密码最长使用时间
建议: 在/etc/login.defs 设置密码最长使用时间,建议值1095
检测项目: 密码修改最小间隔时间
建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
检测项目: 设置有密码账户不活动最大时间
建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天

via: http://www.stumblingblock.cn/3102.html

顶 5踩 4收藏
文章评论
    发表评论

    个人资料

    • 昵称: 小蜜锋
    • 等级: 高级设计师
    • 积分: 7088
    • 代码: 757 个
    • 文章: 360 篇
    • 随想: 211 条
    • 访问: 1263 次
    • 关注

    标签

    设计模式(4)java(9)命名规范(2)广告创意(1)愤怒的小鸟(1)游戏(5)jsp(1)配置(1)Surface(1)windows(1)javabean(1)设计方法(1)开发工具(2)web(4)大数据(2)GPU(1)硬盘(1)内部结构(1)黑客(1)窃取(1)编码(1)解决方法(1)php(28)mysql(9)数据库备份(1)数据库还原(1)命令(2)数据库(1)安装(1)2012(2)世界末日(3)仙剑5前传(1)默哀(1)电源(1)女生(1)装饰器模式(2)古剑奇谭(1)电脑桌(1)史上最牛(1)编程语言(2)小米(3)电视机顶盒(1)营销策略(1)Android(8)手势(1)诺亚方舟(1)Eclipse(1)汽车(1)操作系统(1)软件(1)互联网(5)大事记(1)设计师(2)壁纸(1)古剑奇谭2(1)古剑奇谭网络版(1)云计算(2)服务器(1)框架(2)Socket(1)jquery(1)构造函数执行顺序(1)火车票(1)3D(1)数据中心(2)正则表达式(2)Web前端(1)开发框架(1)系统瘫痪(1)12306(2)cpu(1)javascript(2)开发日记(15)体育馆管理系统(15)网页设计(1)CSS3(3)腾讯(3)小游戏(1)interface(1)平板(2)面试(2)设计(5)摄影(2)数据挖掘(1)钢琴谱(1)情人节(1)陈欧体(1)程序员(3)漫画(1)UserAgent(1)iPhone(2)NoSQL(1)ui(9)越狱(1)指南(1)abstract(1)css(3)git(2)八核(2)三星(1)linux(11)数据类型(1)html5(2)UML(2)perftools(1)创意(1)logo(1)色谱(1)响应式(5)Metro(2)虚拟机(1)jvm(1)垃圾回收(1)left(1)join(1)连接查询(1)溯源系统(1)Override(1)SAE(2)WordPress(1)指针(1)链表(1)系统分析师(1)中间件(1)corba(1)static(1)无线(1)监控(1)iPad(1)Apache(2)比特币(2)命名规则(1)手机支付(1)curl(3)笔记(1)导航(1)thinkphp(1)异常导致本地路径泄漏(1)web设计(1)网络安全(1)诗句(1)4K对齐(1)代码库(1)色彩(1)动画片(1)struts2(3)漏洞(5)确认框(1)心情驿站(1)ArscEditor(1)resources.(1)apktool(1)AppKey(1)新浪微博(1)app(5)广告(3)赚钱(1)响应式布局(1)html(1)淘宝(2)微信(1)重构(5)缓存(1)破解(1)后门(1)七夕(1)SEO(2)概念设计(1)面向对象(1)bootstrap(1)性能(2)优化(1)iis(1)爬虫(1)采集(1)算法(2)文本相似度(2)cto(1)js(1)fsockopen(1)扁平化设计(2)网页(1)心情(7)小米电视(1)开箱(1)励志(2)招聘(3)命名(1)notepad++(1)python(1)配色(3)扁平化(4)ps(2)搞笑(2)创业(3)渲染(1)电影(1)模板(1)微博(1)企业家(1)公司(1)总结(1)前端(1)运营(1)变形(1)svn(4)教程(3)搜狗(1)泄密(1)双11(1)天猫(1)UC(1)启动界面(1)光棍节(1)双十一(2)物流(1)备份(1)更新(1)插入(1)插件(2)jsTree(1)(1)海量数据(1)分辨率(1)草图(1)手绘(1)速度(1)文本处理(1)实习(1)感想(1)文件(1)简历(1)65.49.2.17(1)yum(1)解决办法(1)阿里云(2)推广(1)来往(1)春运(1)LBS(1)gb2312(1)utf-8(1)log4j(1)详解(1)收购(1)私服(1)TortoiseGi(1)post(1)异常(2)flappyBird(1)应用创新大赛(1)宙斯杯(1)学习方法(1)xp(1)退役(1)安全(1)技术贴(1)flash(1)刷机(1)京东(1)电商(1)Tomcat(1)JDK(1)免费(1)长投影(1)图标(1)Photoshop(1)云端集成开发环境(1)软件开发(1)可视化(1)工具(2)OpenSSL(1)Heartbleed(1)vsftp(1)中国知网(1)学术论文(1)免费下载(1)开发(1)手册(1)速查表(1)追随战略(1)sdk(1)文章(1)发布(1)文件管理(1)沙画(1)动效(2)原型(1)感悟人生(1)哲理(1)Bash(1)类图(1)知识管理(1)Console(1)调试命令(1)rpm(1)报错(1)挂载(1)数据盘(1)云主机(1)产品经理(1)原型设计(1)mql4(1)mt4(1)ea(1)程序化交易(1)CURLOPT_PO(1)阿里云​(1)CentOS6(2)OpenSSH(1)漏洞修复(2)升级(1)安骑士(1)链克(1)

    站长推荐