前幾天發(fā)了一篇等保2.0的文章(等保2.0簡(jiǎn)單介紹 )，文章里面提到，相比于等保1.0標(biāo)準(zhǔn)，等保2.0很大幅度上對(duì)安全通用要求的一些控制項(xiàng)做了大幅精簡(jiǎn)，但是等保二級(jí)的要求仍多達(dá)135項(xiàng)、等保三級(jí)多達(dá)211項(xiàng)。

https://mp.weixin.qq.com/s/kEUQ77WYeGGrTtM7_ShHyA

本文主要就系統(tǒng)漏洞展開，用一次真實(shí)軟件的部署過(guò)程來(lái)簡(jiǎn)單說(shuō)一下系統(tǒng)安全漏洞的檢查與規(guī)避方法。

二級(jí)等保的基線判分標(biāo)準(zhǔn)中關(guān)于主機(jī)或系統(tǒng)漏洞的要求項(xiàng)共有四點(diǎn)：

三級(jí)等保的基線判分標(biāo)準(zhǔn)中關(guān)于主機(jī)或系統(tǒng)漏洞的要求項(xiàng)增加了兩點(diǎn)：

總結(jié)一下，關(guān)于主機(jī)系統(tǒng)或網(wǎng)絡(luò)安全，應(yīng)該做到以下幾個(gè)方面：

1、從源頭開始控制。如最小化安裝系統(tǒng)、嚴(yán)格控制開啟服務(wù)，保證服務(wù)器未運(yùn)行多余的或者存在風(fēng)險(xiǎn)的服務(wù)；

2、從傳播途徑中進(jìn)行控制。如配置訪問(wèn)控制，如果服務(wù)器上有針對(duì)內(nèi)外網(wǎng)不同的服務(wù)，可以通過(guò)限制訪問(wèn)進(jìn)行網(wǎng)絡(luò)阻斷，只允許特定主機(jī)或網(wǎng)絡(luò)訪問(wèn)指定服務(wù)器的指定服務(wù)或端口；

3、要定期進(jìn)行網(wǎng)絡(luò)漏洞掃描及安全檢查，及時(shí)處理掉發(fā)現(xiàn)的問(wèn)題，同時(shí)對(duì)檢查和處理結(jié)果進(jìn)行歸檔，以備查驗(yàn)；

4、對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)、配置等要有數(shù)據(jù)備份，同時(shí)要建立完善的工作管理機(jī)制文檔、應(yīng)急處置預(yù)案等資料體系。

1、新裝操作系統(tǒng)檢查

實(shí)驗(yàn)環(huán)境下使用最小化安裝部署了一臺(tái)CentOS操作系統(tǒng)，部署完成之后使用漏洞掃描工具先掃描默認(rèn)狀態(tài)下的系統(tǒng)健康情況：

可以看到，主要是SSH的漏洞，因?yàn)樽钚』惭b后服務(wù)器開啟服務(wù)少。嘗試先升級(jí)SSH版本。先更新yum list到最新。

查看當(dāng)前SSH版本：

更新SSH版本：

[root@localhost itac]# yum install -y openssh

再次執(zhí)行掃描任務(wù)，主機(jī)狀態(tài)如下：

發(fā)現(xiàn)只剩下7.5及之后的中風(fēng)險(xiǎn)漏洞。一般的掃描引擎是更新到7.5以后就沒問(wèn)題了，所以yum源最新的版本能滿足大多數(shù)客戶要求。最好是能升級(jí)到最新版本(查詢到最新版本已經(jīng)是8.0p1)，但是要到y(tǒng)um源站去下載rpm包，上傳到服務(wù)器再進(jìn)行安裝更新，有興趣的小伙伴可以操作一下。

同理，可以使用yum update -y一次性將系統(tǒng)中所有安裝組件的版本更新到最新，但是在有業(yè)務(wù)的前提下不建議這么操作，因?yàn)闃I(yè)務(wù)上對(duì)版本可能有依賴關(guān)系，需要慎重操作。

2、使用腳本安裝軟件

安裝完成之后使用云漏掃掃描主機(jī)狀態(tài)：

發(fā)現(xiàn)問(wèn)題主要集中在tomcat組件和PHP組件上，但是這些組件部署在docker里面，沒有訪問(wèn)權(quán)限，需要跟隨軟件版本一同更新，所以無(wú)法做升級(jí)處理，很大程度上存在安全隱患。

同時(shí)發(fā)現(xiàn)不同廠商掃描規(guī)則略有不同，主要體現(xiàn)在掃描方式、規(guī)則庫(kù)、關(guān)注信息的不同上，同樣操作系統(tǒng)用綠盟的漏洞掃描系統(tǒng)進(jìn)行掃描，除前示信息展示外，還有一項(xiàng)狀態(tài)信息展示：

3、修改防火墻策略：

當(dāng)前系統(tǒng)安裝完成之后默認(rèn)防火墻是打開的，但是部署腳本關(guān)閉了防火墻：

還好SSH不受防火墻的影響，可以直接開啟防火墻：

開啟完成之后掃描一次，發(fā)現(xiàn)大部分漏洞都因?yàn)榉阑饓o(wú)法訪問(wèn)被限制住了，但是連系統(tǒng)信息也獲取不到了：

看一下防火墻的規(guī)則：

沒有任何規(guī)則，現(xiàn)在這種情況下，去打開軟件的服務(wù)端口TCP 8080-8083是不可能的，需要增加放通規(guī)則。但是出于安全考慮，建議只放通幾個(gè)IP的全部訪問(wèn)，一個(gè)IP是需要登錄控制這臺(tái)服務(wù)器的主機(jī)，一般是你正在使用的主機(jī)IP；另外就是需要和軟件發(fā)生聯(lián)系的IP地址，一般包括其他訪問(wèn)該服務(wù)器的主機(jī)IP和該服務(wù)器需要訪問(wèn)的IP地址。命令如下：

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.20.100" port protocol="tcp" port="0-65535" accept"

# 以本機(jī)IP地址172.16.20.100為例

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.88.200.254" port protocol="tcp" port="0-65535" accept"

#假設(shè)還有一臺(tái)IP地址為10.88.200.254的主機(jī)需要和該服務(wù)器互相訪問(wèn)

之后按照軟件的服務(wù)需求再添加入棧策略規(guī)則，該軟件作為日志接收和FTP服務(wù)器，需要開啟UDP 514端口和TCP 20、21端口：

firewall-cmd --zone=public --add-port=514/udp –-permanent

firewall-cmd --zone=public --add-port=20/tcp –-permanent

firewall-cmd --zone=public --add-port=21/tcp –-permanent

注意重新加載以激活配置：

firewall-cmd --reload

命令行操作效果：

查看結(jié)果：

測(cè)試從本地訪問(wèn)軟件的8080頁(yè)面：

在本地幾個(gè)頁(yè)面均能正常訪問(wèn)，再使用云漏掃測(cè)試一下，發(fā)現(xiàn)漏洞唄規(guī)避。這其中主要的原因就是漏掃服務(wù)器無(wú)法訪問(wèn)到主機(jī)的這些業(yè)務(wù)端口，所以也就無(wú)從獲取到主機(jī)的漏洞信息。

使用上述方法進(jìn)行配置，可以保證一些主要業(yè)務(wù)需求的正常訪問(wèn)，同時(shí)安全性較高，能夠有效降低掃描中出現(xiàn)漏洞或者風(fēng)險(xiǎn)。但是在條件允許的情況下還是建議對(duì)涉及的安全漏洞進(jìn)行打補(bǔ)丁或者升級(jí)，畢竟打鐵還要自身硬；自己沒毛病，才能他強(qiáng)任他強(qiáng)，清風(fēng)拂山崗。

關(guān)于網(wǎng)絡(luò)部分配置的內(nèi)容，后面會(huì)放到配置合規(guī)檢查中進(jìn)行介紹，歡迎持續(xù)關(guān)注。

總結(jié)

以上是生活随笔為你收集整理的绿盟漏洞扫描_主机安全漏洞解决方案的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。