2.ws服务监听 7272端口(websocket协议,端口自定义)
3.openssl 已安装
启用 proxy_wstunnel_module 模块
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so
4.打开宝塔的网站设置,打开配置文件。
找到
在下面添加
重启apache
js连接wss
检测到远端XFS服务正在运行中漏洞
临时关闭fs.auto服务:
可以通过编辑/etc/inetd.conf文件,重新启动Inetd进程来关闭fs.auto服务:
1. 注释/etc/inetd.conf文件中的如下一行:
#fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs
2. 重新启动inetd进程:
# ps -elf |grep inetd
root 138 1 0 Oct 15 ? 0:00 /usr/sbin/inetd
# kill -1 138
solaris 查找文件 find命令
1. find命令格式
find: [-H | -L] 路径列表 谓词列表
可以使用:man find 查看命令选项。
2. 通过文件名查找法:
如果你把这个文件放在单个的文件夹里面,只要使用常见的“ls"命令就能方便的查找出来,如果知道了某个文件的文件名,而不知道这个文件放到哪个文件夹,甚至是层层套嵌的文件夹里。举例说明,假设你忘记了sshd_config(ssh 服务器 的配置文件)这个文件在系统的哪个目录下,甚至在系统的某个地方也不知道,则这是可以使用如下命令
find / -name sshd_config
这个命令语法看起来很容易就明白了,就是直接在find后面写上 -name,表明要求系统按照文件名查找,最后写上httpd.conf这个目标文件名即可。稍等一会系统会在计算机 屏幕 上显示出查找结果列表:
#find / -name sshd_config
/var/sadm/pkg/SUNWsshdr/save/pspool/SUNWsshdr/reloc/etc/ssh/sshd_config
/etc/ssh/sshd_config
如果输入以上查找命令后系统并没有显示出结果,那么不要以为系统没有执行find/ -name sshd_config 命令,而可能是你的系统中没有安装ssh 服务器 ,这时只要你安装了ssh服务器,然后再使用find / -name sshd_config 就能找到这个配置文件了。
服务器支持 TLS Client-initiated 重协商攻击 (CVE-2011-1473)
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。
重协商就是大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求重新协商,就会发起一次新的handshake,对新的安全参数达成一致
关闭命令:ssl renegotiation disable
远端rsh 服务允许部分用户登录。需要禁止rsh 服务 。
方法:
cat /.rhosts 查看是否有 + 号,意思是允许所有其他机器访问。 我们主要VI编辑将+去掉即可。(该配置文件,其做用就是控制访问IP)
因为RSH服务不能控制入访因此我们需要禁用内网所有主机的出访服务
禁用RSH出访服务 svcadm disable svc:/network/shell:default
禁用rlogin服务 svcadm disable svc:/network/login:rlogin
检测到远端rsh 服务正在运行中。禁用RSH 服务,改用SSH 代替 。
方法:
1、vi /.rhosts 去掉其中的+号
2、vi /etc/default/login
CONSOLE=/dev/console 将这一行#注释掉。
因为RSH服务不能控制入访因此我们需要禁用内网所有主机的出访服务
3、禁用RSH出访服务 svcadm disable svc:/network/shell:default
4、禁用rlogin服务 svcadm disable svc:/network/login:rlogin
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)
现场次漏洞只存在于服务器,后又发现此漏洞依赖于服务器的5989端口,可以在防火墙禁用此端口或杀掉此进程
方法一 编辑: vi /etc/sysconfig/iptables
添加:-A INPUT -p tcp --dport 5989 -j DROP
-A INPUT -p tcp --sport 5989 -j DROP
重启网络服务:service iptables restart
方法二 根据netstat –tunlp|grep 5989 查找PID ,pwdxPID查看程序路径,如没问题则可以杀死此进程。
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对 SSL 3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取 SSL 通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
从本质上说,这是 SSL 设计上的缺陷, SSL 先认证再加密是不安全的。
修复措施:
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式
Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2
ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL
ssl_prefer_server_ciphers on
apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)
apache2.X版本:
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL
SSLHonorCipherOrder on
Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="keystore/domain.jks" keystorePass="证书密码"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
使用apr的tomcat(windows环境路径请使用“\”,证书文件是for apache压缩包中的三个文件)
maxThreads="150"
protocol="org.apache.coyote.http11.Http11AprProtocol"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
SSLEnabled="true"
SSLProtocol="all -SSLv2 -SSLv3"
SSLCertificateFile="conf/domian.com.crt"
SSLCertificateKeyFile="conf/domian.com.key"
SSLCertificateChainFile="conf/root_bundle.crt"
SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)