wordpress怎么修改栏目标题,网站怎么优化关键词快速提升排名,广告页面设计软件,财务系统前几天发了一篇等保2.0的文章(等保2.0简单介绍 )#xff0c;文章里面提到#xff0c;相比于等保1.0标准#xff0c;等保2.0很大幅度上对安全通用要求的一些控制项做了大幅精简#xff0c;但是等保二级的要求仍多达135项、等保三级多达211项。https://mp.weixin.qq.com/s/kE…前几天发了一篇等保2.0的文章(等保2.0简单介绍 )文章里面提到相比于等保1.0标准等保2.0很大幅度上对安全通用要求的一些控制项做了大幅精简但是等保二级的要求仍多达135项、等保三级多达211项。https://mp.weixin.qq.com/s/kEUQ77WYeGGrTtM7_ShHyA本文主要就系统漏洞展开用一次真实软件的部署过程来简单说一下系统安全漏洞的检查与规避方法。二级等保的基线判分标准中关于主机或系统漏洞的要求项共有四点三级等保的基线判分标准中关于主机或系统漏洞的要求项增加了两点总结一下关于主机系统或网络安全应该做到以下几个方面1、从源头开始控制。如最小化安装系统、严格控制开启服务保证服务器未运行多余的或者存在风险的服务2、从传播途径中进行控制。如配置访问控制如果服务器上有针对内外网不同的服务可以通过限制访问进行网络阻断只允许特定主机或网络访问指定服务器的指定服务或端口3、要定期进行网络漏洞扫描及安全检查及时处理掉发现的问题同时对检查和处理结果进行归档以备查验4、对关键业务系统、配置等要有数据备份同时要建立完善的工作管理机制文档、应急处置预案等资料体系。1、新装操作系统检查实验环境下使用最小化安装部署了一台CentOS操作系统部署完成之后使用漏洞扫描工具先扫描默认状态下的系统健康情况可以看到主要是SSH的漏洞因为最小化安装后服务器开启服务少。尝试先升级SSH版本。先更新yum list到最新。查看当前SSH版本更新SSH版本[rootlocalhost itac]# yum install -y openssh再次执行扫描任务主机状态如下发现只剩下7.5及之后的中风险漏洞。一般的扫描引擎是更新到7.5以后就没问题了所以yum源最新的版本能满足大多数客户要求。最好是能升级到最新版本(查询到最新版本已经是8.0p1)但是要到yum源站去下载rpm包上传到服务器再进行安装更新有兴趣的小伙伴可以操作一下。同理可以使用yum update -y一次性将系统中所有安装组件的版本更新到最新但是在有业务的前提下不建议这么操作因为业务上对版本可能有依赖关系需要慎重操作。2、使用脚本安装软件安装完成之后使用云漏扫扫描主机状态发现问题主要集中在tomcat组件和PHP组件上但是这些组件部署在docker里面没有访问权限需要跟随软件版本一同更新所以无法做升级处理很大程度上存在安全隐患。同时发现不同厂商扫描规则略有不同主要体现在扫描方式、规则库、关注信息的不同上同样操作系统用绿盟的漏洞扫描系统进行扫描除前示信息展示外还有一项状态信息展示3、修改防火墙策略当前系统安装完成之后默认防火墙是打开的但是部署脚本关闭了防火墙还好SSH不受防火墙的影响可以直接开启防火墙开启完成之后扫描一次发现大部分漏洞都因为防火墙无法访问被限制住了但是连系统信息也获取不到了看一下防火墙的规则没有任何规则现在这种情况下去打开软件的服务端口TCP 8080-8083是不可能的需要增加放通规则。但是出于安全考虑建议只放通几个IP的全部访问一个IP是需要登录控制这台服务器的主机一般是你正在使用的主机IP另外就是需要和软件发生联系的IP地址一般包括其他访问该服务器的主机IP和该服务器需要访问的IP地址。命令如下firewall-cmd --permanent --add-rich-rulerule familyipv4 source address172.16.20.100 port protocoltcp port0-65535 accept# 以本机IP地址172.16.20.100为例firewall-cmd --permanent --add-rich-rulerule familyipv4 source address10.88.200.254 port protocoltcp port0-65535 accept#假设还有一台IP地址为10.88.200.254的主机需要和该服务器互相访问之后按照软件的服务需求再添加入栈策略规则该软件作为日志接收和FTP服务器需要开启UDP 514端口和TCP 20、21端口firewall-cmd --zonepublic --add-port514/udp –-permanentfirewall-cmd --zonepublic --add-port20/tcp –-permanentfirewall-cmd --zonepublic --add-port21/tcp –-permanent注意重新加载以激活配置firewall-cmd --reload命令行操作效果查看结果测试从本地访问软件的8080页面在本地几个页面均能正常访问再使用云漏扫测试一下发现漏洞呗规避。这其中主要的原因就是漏扫服务器无法访问到主机的这些业务端口所以也就无从获取到主机的漏洞信息。使用上述方法进行配置可以保证一些主要业务需求的正常访问同时安全性较高能够有效降低扫描中出现漏洞或者风险。但是在条件允许的情况下还是建议对涉及的安全漏洞进行打补丁或者升级毕竟打铁还要自身硬自己没毛病才能他强任他强清风拂山岗。关于网络部分配置的内容后面会放到配置合规检查中进行介绍欢迎持续关注。
