前因:
创新互联建站专注于瑶海网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供瑶海营销型网站建设,瑶海网站制作、瑶海网页设计、瑶海网站官网定制、微信小程序开发服务,打造瑶海网络公司原创品牌,更为您提供
瑶海网站排名全网营销落地服务。
系统扫描出两个漏洞。1:数据库oracle漏洞。2:openssh漏洞。
linux操作系统 redhat4.7企业版,oracle11g
解决思路:
1 oracle补丁一般是收费的,而且漏洞对数据库其实没有太多影响,不建议打补丁。
2 升级openssh,但是操作系统版本是在太老了。客户要求升级ssh到最新8.3版本,且不说4.7的操作系统支不支持8.3的ssh,即使支持,升级ssh也需要依赖zlib、ssl、perl、gcc等。
后来在自己虚拟机上安装了redhat4.8,最终ssh8.3升级成功,另一篇文章介绍。
解决方法:
通过添加白名单,允许指定ip访问1521和22,规避扫描
编辑
vi
/etc/sysconfig/iptables
#新建报名单
-N whitelist
#两个ip允许访问1521
-A INPUT -p tcp -s 73.XX.XX.137 --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 137.XX.XX.0/24 --dport 1521 -j ACCEPT
#因为互联网访问汇总成网闸,是0-24的网段
#一个ip允许访问22
-A INPUT -p tcp -s 73.XX.XX7.137 --dport 22 -j ACCEPT
-A INPUT -p tcp -j whitelist
-A INPUT -p udp -j whitelist
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug 7 08:51:17 2020
保存后重启
service iptables restart
文章标题:通过白名单iptables限制ip规避漏洞-创新互联
标题URL:
http://csdahua.cn/article/dsdojo.html
