Linux 常见漏洞修复方法和防御措施整理

最新推荐文章于 2025-04-21 10:28:17 发布
最新推荐文章于 2025-04-21 10:28:17 发布
阅读量1.2k 收藏 21
点赞数 32
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/haote_go/article/details/146539985
版权

Linux 常见漏洞修复方法和防御措施整理

一、Linux 漏洞分类与危害

Linux 漏洞主要分为以下几类:

漏洞类型典型案例危害等级
权限提升Dirty COW (CVE-2016-5195)
缓冲区溢出Bash Shellshock (CVE-2014-6271)
服务漏洞OpenSSH 弱加密算法中高
配置错误777 权限文件、未关闭的 SSH 端口中低
内核漏洞Spectre/Meltdown (2018 系列漏洞)极高

二、漏洞修复核心流程
漏洞检测
漏洞评估
制定修复方案
应用补丁/配置
验证修复结果

三、常见漏洞修复方法与案例

1. 系统未打补丁(最常见漏洞)

漏洞原因:内核或软件未更新到最新版本。
修复方法

# Debian/Ubuntu
sudo apt update && sudo apt upgrade -y

# CentOS/RHEL
sudo yum update -y && sudo reboot  # 内核更新需重启

防御措施

  • 启用自动更新:
    # Ubuntu
sudo systemctl enable --now unattended-upgrades

2. 弱密码与权限配置不当

漏洞案例/etc/shadow 权限为 666,用户密码为 123456
修复方法

  1. 修复文件权限
    sudo chmod 600 /etc/shadow /etc/gshadow
  2. 强化密码策略(参考前文密码策略配置)。

3. 不必要的服务与端口开放

漏洞案例:开放 22/tcp(SSH)、80/tcp(HTTP)但未使用。
修复方法

  1. 关闭无用服务
    sudo systemctl stop telnet.socket && sudo systemctl disable telnet.socket
  2. 防火墙限制(以 firewalld 为例):
    sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent
sudo firewall-cmd --reload

4. 缓冲区溢出漏洞(如 Shellshock)

漏洞描述:Bash 处理环境变量时执行任意代码。
修复方法

  1. 更新 Bash
    sudo apt install bash  # Debian/Ubuntu
sudo yum update bash   # CentOS/RHEL
  2. 验证修复
    env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
# 修复后应无 "vulnerable" 输出

5. 内核漏洞(如 Dirty COW)

漏洞原理:利用写时复制机制实现内存篡改。
修复方法

  1. 升级内核
    # Ubuntu 20.04+
sudo apt install linux-image-generic
  2. 验证内核版本
    uname -r  # 应高于 4.8.3-0

6. SSH 弱加密算法

漏洞风险:使用 arcfour 等过时加密算法。
修复方法

  1. 修改 /etc/ssh/sshd_config
    Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
  2. 重启服务
    sudo systemctl restart sshd

四、防御措施与最佳实践

1. 最小化安装原则

  • 仅安装必要组件:
    # CentOS 最小化安装示例
sudo yum groupremove "Graphical Administration Tools"

2. 权限管理(ACL 与 sudo)

  • 禁止 root 直接登录 SSH
    # /etc/ssh/sshd_config
PermitRootLogin no
  • 精细化 sudo 权限
    sudo visudo
# 添加:
user1 ALL=(ALL) NOPASSWD: /usr/sbin/service sshd restart

3. 安全增强工具

工具名称作用配置示例
SELinux强制访问控制setenforce 1(开启强制模式)
AppArmor应用程序沙盒sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd
fail2ban暴力破解防御监控 /var/log/sshd 并封禁恶意 IP

4. 日志监控与审计

  1. 开启审计日志
    sudo systemctl enable --now auditd
  2. 监控异常登录
    grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c

五、漏洞修复验证工具

1. 漏洞扫描工具

  • Nessus:商业漏洞扫描器,支持 Linux 全版本。
  • OpenVAS:开源替代方案:
    sudo openvas-scan --target 192.168.1.100

2. 本地安全检查

  • Linux 安全审计工具
    sudo tiger -a  # 全面安全检查
sudo Lynis audit system  # 生成安全报告

六、实战案例:修复 vsftpd 匿名访问漏洞

漏洞描述

vsftpd 允许匿名用户上传文件,可能导致目录遍历。

修复步骤

  1. 禁止匿名登录
    sudo vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO  # 改为 NO
  2. 限制本地用户目录
    chroot_local_user=YES
allow_writeable_chroot=NO  # 增强安全性
  3. 重启服务
    sudo systemctl restart vsftpd

七、注意事项

  1. 补丁兼容性:测试补丁与现有应用的兼容性(尤其生产环境)。
  2. 备份策略:修复前备份关键文件(如 /etc/boot)。
  3. 第三方软件:单独更新 MySQL、Apache 等第三方服务。

总结:Linux 漏洞修复需结合补丁管理权限控制服务硬化持续监控。建议每月进行一次安全审计,使用自动化工具降低人工成本。

浩特-ht
关注
Linux 内核权限提升漏洞CVE-2024-1086三种修复方法
老苏畅谈运维
06-22 6774
漏洞成因:Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。2024年3月28日,监测到 Linux kernel权限提升漏洞(CVE-2024-1086)的PoC/EXP在互联网上公开,该漏洞的CVSS评分为7.8,目前漏洞细节已经公开披露。
Linux Bash严重漏洞紧急修复方案
weixin_33895016的博客
09-26 180
今天刚刚爆出Bash安全漏洞,Bash存在一个安全的漏洞,该漏洞直接影响基于Unix的系统(如Linux、OS X 等)。该漏洞将导致远程***者在受影响的系统上执行任意代码。【已确认被成功利用的软件及系统】  所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。   【漏洞描述】  该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被b...
Linux漏洞修复:禁用外来的ICMP timestamp禁止Traceroute探测
最新发布
weixin_43993310的博客
04-21 1127
禁用外来的ICMP timestamp禁止Traceroute探测漏洞修复
Linux常见漏洞修复教程!
高性价比服务器就选:蓝易云
06-30 1319
请注意,漏洞修复的具体方法措施取决于特定的漏洞系统配置。建议您根据具体情况进行进一步研究采取相应的安全措施。如果不确定如何修复特定漏洞,请参考相关厂商的安全公告文档,或者咨询安全专家。修复Linux系统中的常见漏洞是确保系统安全性的重要步骤。
修补Linux漏洞方法
迪之的博客
12-13 1706
加强访问控制权限:限制用户的权限访问控制,确保只有授权的用户可以访问敏感数据资源。及时更新系统:定期更新操作系统软件,以获取最新的安全补丁修复程序。使用安全的网络连接传输协议:使用安全的网络连接传输协议,如SSHHTTPS。及时更新软件应用程序:确保所有的软件应用程序都是最新版本,以修复已知的漏洞安全问题。定期检查软件提供商的更新补丁。运行安全性扫描漏洞扫描:定期运行安全性扫描漏洞扫描来检测系统中的潜在漏洞。使用强密码密钥:使用强密码密钥来保护用户账户系统访问。
Linux安全漏洞如何进行修复
云计算分享
02-18 3666
linux修复bash安全漏洞方法 1.首先,在linux命令行中执行以下命令扫描bash漏洞; env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 2.扫描到bash安全漏洞后,在命令行执行以下命令升级bash; yum -y update bash 3.最后,bash升级后,在命令行中执行以下命令即可对bash安全漏洞进行修复; env x='() { :;}; ech...
linux各版本对应溢出漏洞总结(溢出代码)
weixin_33895657的博客
08-09 473
记录一下。2.4.17 newlocal kmod 2.4.18 brk brk2 newlocal kmod km.2 2.4.19 brk brk2 newlocal kmod km.2 2.4.20 ptrace kmod ptrace-kmod km.2 brk brk2 2.4.21 km.2 brk ...
Linux安全漏洞修复常见误区及解决方案:专家揭秘真相
[Linux安全漏洞修复常见误区及解决方案:专家揭秘真相](https://www.stationx.net/wp-content/uploads/2023/05/linux-security-tools-featured-image.png) # 1. Linux安全漏洞概览 Linux操作系统作为服务器平台的...
Linux内核漏洞修复实战:权限绕过漏洞修复
# 1. 理解Linux内核漏洞 - 1.1 什么是Linux内核漏洞 ... 权限绕过漏洞修复原理 #### 3.1 修复权限绕过漏洞的基本原则 在修复权限绕过漏洞时,需要遵循以下基本原则: - 最小权限原则:在设置权限时,应该
【SKTOOL软件故障排除全攻略】:常见问题解决方法预防措施
[【SKTOOL软件故障排除全攻略】:常见问题解决方法预防措施](https://community.adobe.com/havfw69955/attachments/havfw69955/download-and-install/536951/1/c72f35807ff9b02cc23cab7b1c8e5bf.jpg) 参考资源...
Linux下的安全漏洞监测修复
# 第一章:Linux系统下安全漏洞的概述 ## 1.1 Linux系统的安全性挑战 在当今互联网环境中,Linux系统作为广泛采用的操作系统之一,面临着诸多安全性...常见漏洞包括但不限于远程执行代码漏洞、拒绝服务漏洞、提权漏
linux系统漏洞加固
04-18
一. 账号口令 1.1 检查设备密码复杂度策略(高危) 1.2 检查口令最小长度(高危) 1.3 检查是否设置口令更改最小间隔天数(高危) 1.4 检查是否设置口令生存周期(高危) 1.5 检查是否设置口令过期前警告天数(高危) 1.6 检查是否存在空口令账号(高危) 1.7 检查是否设置除root之外UID为0的用户(中危) 二. 认证授权 2.1 检查用户目录缺省访问权限设置(高危) 2.2 检查用户umask设置(中危) 2.3 检查重要文件属性设置(中危) 2.4 检查重要目录或文件权限设置(中危) 2.5 检查是否设置ssh登录前警告Banner(低危) 三. 日志审计 3.1 检查是否对登录进行日志记录(高危) 3.2 检查是否启用cron行为日志功能(低危) 3.3 检查是否配置su命令使用情况记录(低危) 3.4 检查日志文件是否非全局可写(低危) 3.5 检查安全事件日志配置(低危) 3.6 检查是否记录用户对设备的操作(低危) 3.7 检查是否配置远程日志功能(低危) 四. 协议安全 4.1 检查是否禁止root用户远程登录(高危) 4.2 检查是否禁止匿名用户登录FTP(高危) 4.3 检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议(高危) 4.4 检查是否修改snmp默认团体字(中危) 4.5 检查系统openssh安全配置(中危) 4.6 检查是否禁止root用户登录FTP(中危) 五. 其他安全 5.1 检查是否使用PAM认证模块禁止wheel组之外的用户su为root(高危) 5.2 检查是否设置命令行界面超时退出(高危) 5.3 检查是否关闭不必要的服务端口(高危) 5.4 检查是否关闭系统信任机制(高危) 5.5 检查是否删除了潜在危险文件(高危) 5.6 检查系统core dump设置(中危) 5.7 检查root用户的path环境变量(中危) 5.8 检查系统是否禁用ctrl+alt+del组合键(中危) 5.9 检查密码重复使用次数限制(中危) 5.10 检查是否配置用户所需最小权限(中危) 5.11 检查系统内核参数配置(中危) 5.12 检查FTP用户上传的文件所具有的权限(低危) 5.13 检查/usr/bin/目录下可执行文件的拥有者属性(低危) 5.14 检查是否按用户分配账号(低危) 5.15 检查历史命令设置(低危) 5.16 检查系统磁盘分区使用率(低危) 5.17 检查日志文件权限设置(低危) 5.18 检查是否设置系统引导管理器密码(低危) 5.19 检查是否限制FTP用户登录后能访问的目录(低危) 5.20 检查是否设置ssh成功登录后Banner(低危) 5.21 检查是否使用NTP(网络时间协议)保持时间同步(低危) 5.22 检查是否关闭IP伪装绑定多IP功能(低危) 5.23 检查是否限制远程登录IP范围(低危) 5.24 检查NFS(网络文件系统)服务配置(低危) 5.25 检查拥有suidsgid权限的文件(低危) 5.26 检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)(低危) 5.27 检查是否安装chkrootkit进行系统监测(低危) 5.28 检查是否对系统账号进行登录限制(低危) 5.29 检查是否禁用不必要的系统服务(低危) 5.30 检查别名文件/etc/aliase(或/etc/mail/aliases)配置(低危) 5.31 检查账户认证失败次数限制(低危) 5.32 检查telnet Banner 设置(低危) 5.33 检查FTP Banner设置(低危) 5.34 检查是否关闭数据包转发功能(适用于不做路由功能的系统)(低危) 5.35 检查是否安装OS补丁(低危) 5.36 检查是否按组进行账号管理(低危) 5.37 检查是否删除设备运行、维护等工作无关的账号(低危)
Linux glibc 幽灵漏洞修复方案
02-06
Linux glibc 幽灵漏洞修复方案
【UIS8910 AT命令安全加固攻略】:防御策略漏洞修复,确保通信无懈可击
[【UIS8910 AT命令安全加固攻略】:防御策略漏洞修复,确保通信无懈可击](https://www.engineersgarage.com/wp-content/uploads/2020/08/Screen-Shot-2020-08-03-at-3.38.44-PM.png) # 摘要 本文旨在探讨AT命令在...
Linux内核漏洞有哪些
weixin_42596214的博客
02-17 566
Linux内核漏洞主要有两种:内存溢出漏洞缓冲区溢出漏洞。内存溢出漏洞指的是程序试图向一块已经被分配出去的内存中写入数据,而缓冲区溢出漏洞指的是当程序接收到超过其所能处理的数据,就会导致缓冲区溢出,从而改变程序的运行状态。 ...
Linux常见漏洞修复
wd520521的博客
03-07 2176
5353端口是mDNS服务,通常是帮助程序在不需要进行手动网络配置的情况下,在一个本地网络中发布获知各种服务主机。例如,当某用户把他的计算机接入到某个局域网时,如果他的机器运行有Avahi服务,则Avahi程式自动广播,从而发现网络中可用的打印机、共享文件可相互聊天的其他用户。
linux漏洞
u013485804的专栏
02-18 854
闲谈十个linux打点的常见错误   一、不经由严酷审核,从多种渠道下载安装各类类型的应用轨范   如不美观你在运行Ubuntu,你会知道包揽理轨范使用的是。deb软件包。不外,你找到的良多应用轨范是以源代码的形式供给的。没有问题吗?这些轨范安装后也许能够正常工作。可是你为什么不能随意安装轨范呢?事理很简单,如不美观你以源的形式安装了轨范,那么,你的软件包揽理系统将无法跟踪你所安装的工具。是以
Linux因15年前的内核漏洞被获得 Root 权限
llawliet0001的专栏
03-28 215
导读 近日,在Linux内核的 iSCSI 子系统中发现的三个漏洞可能会允许具有基本用户权限的本地攻击者在未打补丁的 Linux 系统上获得 root 权限。 这些安全漏洞只能在本地被利用,这意味着潜在的攻击者将不得不通过利用另一个漏洞或使用其他攻击载体来访问受影响的设备。 15年之久的 Linux 内核漏洞 这些漏洞在 2006年 iSCSI 内核子系统的初始开发阶段就被引入,如今时隔 15 年,GRIMM 的研究人员终于发现了这些漏洞。 根据 GRIMM 安全研究员 Adam N..
linux 漏洞CVE-2019-14287CVE-2021-4034
任雪飘的博客
02-26 5012
大家好,我是任雪飘,一个刚接触web的菜鸡。我们今天一起复现一下linux老版本漏洞,普通用户利用sudo获得系统root权限操作系统! 现在我们重新创建一个新用户 给这个用户设置策略,就是不给他root权限,气死你 ceshi1 这个账号确实没有了root 权限的身份了 现在我们测试这个漏洞是不是存在 既然是root 权限了,那我们修改其他用户的密码吧!看下图是不是完美了 到此处CVE-2019-14287 漏洞复现完毕。 接下 下来我们就要去玩脚本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值