文章目錄

• 1. 漏洞CVE-2022-23521、CVE-2022-41903

• 2. 漏洞CVE-2022-0778

• 3. 漏洞CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315

• 4. 漏洞：CVE-2022-29154

• 5. 漏洞：CVE-2023-24329

• 6. 漏洞：CVE-2023-24329

• 7. 漏洞：CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698

• 8. 漏洞：CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513

• 9. 漏洞：CVE-2020-8625

• 10. 漏洞：CVE-2023-2828

• 11. 漏洞：CVE-2021-25215

• 12. 漏洞：CVE-2023-3341

• 13. 漏洞：CVE-2022-38177、CVE-2022-38178

• 14. 漏洞：CVE-2018-25032

• 15. SSH 登錄超時配置檢測

• 16. 檢查是否設置無操作超時退出

• 17. 檢查是否允許空密碼sudo提權

• 18. 用戶FTP訪問安全配置檢查

• 19. 檢查重要文件是否存在suid和sgid權限

• 20. SSH密碼復雜度檢查

• 21. 檢測PHP是否關閉錯誤提示

• 22. SSH 空閑超時時間檢測

• 23. 未使用安全套接字加密遠程管理ssh

• 23. 檢測是否限制密碼重復使用次數

• 24. 檢查SSH密碼修改最小間隔

• 25. 漏洞：CVE-2023-3899

• 26. 漏洞：CVE-2020-25692

• 27. 設置ssh登錄白名單

1. 漏洞CVE-2022-23521、CVE-2022-41903

發現以下系統軟件存在安全漏洞：
perl-Git-1.8.3.1-23.el7_8 版本低于 1.8.3.1-24.el7_9
git-1.8.3.1-23.el7_8 版本低于 1.8.3.1-24.el7_9
涉及漏洞：CVE-2022-23521、CVE-2022-41903
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2023:097812345

根據提供的信息，您的系統軟件存在兩個安全漏洞（CVE-2022-23521和CVE-2022-41903），而要修復這些漏洞，您可以按照以下步驟進行更新：

1. 更新軟件包： 在這種情況下，您需要將perl-Git和git軟件包更新到修復了這些漏洞的最新版本。在Red Hat系統上，您可以使用以下命令之一來更新軟件包：

   sudo yum update perl-Git git

   或者

   sudo dnf update perl-Git git

   這將檢查可用的更新并安裝最新版本的perl-Git和git軟件包，這兩個軟件包將被升級到修復漏洞的版本。

• 1

• 1

2. 重啟系統或相關服務： 在更新完成后，有時可能需要重新啟動系統或相關服務，以確保新版本的軟件包生效。

3. 驗證更新： 完成更新后，您可以通過檢查軟件包的版本信息來驗證是否成功安裝了修復了漏洞的版本。您可以使用以下命令來檢查軟件包的版本：

   rpm -q perl-Git git

   請確保版本號已更新到修復了漏洞的版本（例如，1.8.3.1-24.el7_9或更高版本）。

• 1

通過更新軟件包，您將能夠修復系統中存在的安全漏洞。強烈建議及時應用安全更新，以確保系統的安全性和穩定性。

2. 漏洞CVE-2022-0778

發現以下系統軟件存在安全漏洞：
openssl-devel-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
openssl-libs-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
openssl-1.0.2k-24.el7_9 版本低于 1.0.2k-25.el7_9
涉及漏洞：CVE-2022-0778
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2022:1066123456

要修復這些存在的CVE-2022-0778安全漏洞，您需要升級您系統上的OpenSSL軟件包到修復了這些漏洞的最新版本。以下是修復步驟：

1. 更新OpenSSL軟件包： 在您的Red Hat系統上，您可以使用以下命令之一來更新OpenSSL軟件包：

   sudo yum update openssl openssl-libs openssl-devel

   或者

   sudo dnf update openssl openssl-libs openssl-devel

   這將檢查可用的更新并安裝最新版本的OpenSSL軟件包，將openssl、openssl-libs和openssl-devel升級到修復了漏洞的版本。

• 1

• 1

2. 重啟相關服務： 更新軟件包后，建議重新啟動依賴于OpenSSL的服務，以確保新版本的OpenSSL生效。您可以考慮重新啟動與網絡通信或安全相關的服務，例如Web服務器（如Apache或Nginx）、郵件服務（如Postfix）、VPN等。

3. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的OpenSSL是否已成功安裝：

   rpm -q openssl openssl-libs openssl-devel

   確保版本號已更新到修復了CVE-2022-0778漏洞的版本（例如，1.0.2k-25.el7_9或更高版本）。

• 1

通過更新OpenSSL軟件包，您將能夠修復系統中存在的CVE-2022-0778安全漏洞。及時應用安全更新對于確保系統的安全性至關重要。

3. 漏洞CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315

發現以下系統軟件存在安全漏洞：
expat-2.1.0-12.el7 版本低于 2.1.0-14.el7_9
expat-devel-2.1.0-12.el7 版本低于 2.1.0-14.el7_9
涉及漏洞：CVE-2021-45960、CVE-2021-46143、CVE-2022-22822、CVE-2022-22823、CVE-2022-22824、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827、CVE-2022-23852、CVE-2022-25235、CVE-2022-25236、CVE-2022-25315
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2022:106912345

要修復這些涉及到的多個CVE安全漏洞，您需要升級您系統上的expat和expat-devel軟件包到修復了這些漏洞的最新版本。以下是修復步驟：

1. 更新expat軟件包： 在您的Red Hat系統上，您可以使用以下命令之一來更新expat軟件包：

   sudo yum update expat expat-devel

   或者

   sudo dnf update expat expat-devel

   這將檢查可用的更新并安裝最新版本的expat和expat-devel軟件包，將其升級到修復了CVE漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的expat是否已成功安裝：

   rpm -q expat expat-devel

   確保版本號已更新到修復了提到的CVE漏洞的版本（例如，2.1.0-14.el7_9或更高版本）。

• 1

通過更新expat和expat-devel軟件包，您將能夠修復系統中存在的多個CVE安全漏洞。記得及時應用安全更新以確保系統的安全性。

4. 漏洞：CVE-2022-29154

發現以下系統軟件存在安全漏洞：
rsync-3.1.2-10.el7 版本低于 3.1.2-11.el7_9
涉及漏洞：CVE-2022-29154
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2022:61701234

要修復涉及到的CVE-2022-29154安全漏洞，您需要升級您系統上的rsync軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新rsync軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新rsync軟件包：

   sudo yum update rsync

   或者

   sudo dnf update rsync

   這將檢查可用的更新并安裝最新版本的rsync軟件包，將其升級到修復了CVE-2022-29154漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的rsync是否已成功安裝：

   rpm -q rsync

   確保版本號已更新到修復了CVE-2022-29154漏洞的版本（例如，3.1.2-11.el7_9或更高版本）。

• 1

通過更新rsync軟件包，您將能夠修復系統中存在的CVE-2022-29154安全漏洞。務必及時應用安全更新以確保系統的安全性。

5. 漏洞：CVE-2023-24329

發現以下系統軟件存在安全漏洞：
python3-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
python3-devel-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
python3-libs-3.6.8-18.el7 版本低于 3.6.8-19.el7_9
涉及漏洞：CVE-2023-24329
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2023:3556123456

要修復涉及到的CVE-2023-24329安全漏洞，您需要升級您系統上的Python3相關軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新Python3相關軟件包： 在您的Red Hat系統上，您可以使用以下命令之一來更新Python3相關軟件包：

   sudo yum update python3 python3-devel python3-libs

   或者

   sudo dnf update python3 python3-devel python3-libs

   這將檢查可用的更新并安裝最新版本的Python3軟件包，將python3、python3-devel和python3-libs升級到修復了CVE-2023-24329漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的Python3相關軟件包是否已成功安裝：

   rpm -q python3 python3-devel python3-libs

   確保版本號已更新到修復了CVE-2023-24329漏洞的版本（例如，3.6.8-19.el7_9或更高版本）。

• 1

通過更新Python3相關軟件包，您將能夠修復系統中存在的CVE-2023-24329安全漏洞。務必及時應用安全更新以確保系統的安全性。

6. 漏洞：CVE-2023-24329

發現以下系統軟件存在安全漏洞：
python-libs-2.7.5-90.el7 版本低于 2.7.5-93.el7_9
python-2.7.5-90.el7 版本低于 2.7.5-93.el7_9
涉及漏洞：CVE-2023-24329
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2023:355512345

要修復涉及到的CVE-2023-24329安全漏洞，您需要升級您系統上的Python相關軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新Python相關軟件包： 在您的Red Hat系統上，您可以使用以下命令之一來更新Python相關軟件包：

   sudo yum update python python-libs

   或者

   sudo dnf update python python-libs

   這將檢查可用的更新并安裝最新版本的Python軟件包，將python和python-libs升級到修復了CVE-2023-24329漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的Python相關軟件包是否已成功安裝：

   rpm -q python python-libs

   確保版本號已更新到修復了CVE-2023-24329漏洞的版本（例如，2.7.5-93.el7_9或更高版本）。

• 1

通過更新Python相關軟件包，您將能夠修復系統中存在的CVE-2023-24329安全漏洞。務必及時應用安全更新以確保系統的安全性。

7. 漏洞：CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698

發現以下系統軟件存在安全漏洞：
microcode_ctl-2.1-73.4.el7_9 版本低于 2.1-73.11.el7_9
涉及漏洞：CVE-2020-0543、CVE-2020-0548、CVE-2020-0549、CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2021:30281234

要修復涉及到的多個CVE安全漏洞，您需要升級您系統上的microcode_ctl軟件包到修復了這些漏洞的最新版本。以下是修復步驟：

1. 更新microcode_ctl軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新microcode_ctl軟件包：

   sudo yum update microcode_ctl

   或者

   sudo dnf update microcode_ctl

   這將檢查可用的更新并安裝最新版本的microcode_ctl軟件包，將其升級到修復了涉及到的CVE漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的microcode_ctl是否已成功安裝：

   rpm -q microcode_ctl

   確保版本號已更新到修復了涉及到的CVE漏洞的版本（例如，2.1-73.11.el7_9或更高版本）。

• 1

通過更新microcode_ctl軟件包，您將能夠修復系統中存在的多個CVE安全漏洞。務必及時應用安全更新以確保系統的安全性。

8. 漏洞：CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513

發現以下系統軟件存在安全漏洞：
microcode_ctl-2.1-73.4.el7_9 版本低于 2.1-73.9.el7_9
涉及漏洞：CVE-2020-24489、CVE-2020-24511、CVE-2020-24512、CVE-2020-24513
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2021:23051234

要修復涉及到的多個CVE安全漏洞，您需要升級您系統上的microcode_ctl軟件包到修復了這些漏洞的最新版本。以下是修復步驟：

1. 更新microcode_ctl軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新microcode_ctl軟件包：

   sudo yum update microcode_ctl

   或者

   sudo dnf update microcode_ctl

   這將檢查可用的更新并安裝最新版本的microcode_ctl軟件包，將其升級到修復了涉及到的CVE漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的microcode_ctl是否已成功安裝：

   rpm -q microcode_ctl

   確保版本號已更新到修復了涉及到的CVE漏洞的版本（例如，2.1-73.9.el7_9或更高版本）。

• 1

通過更新microcode_ctl軟件包，您將能夠修復系統中存在的多個CVE安全漏洞。務必及時應用安全更新以確保系統的安全性。

9. 漏洞：CVE-2020-8625

發現以下系統軟件存在安全漏洞：
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.4
涉及漏洞：CVE-2020-8625
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2021:06711234

要修復涉及到的CVE-2020-8625安全漏洞，您需要升級您系統上的bind-export-libs軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新bind-export-libs軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新bind-export-libs軟件包：

   sudo yum update bind-export-libs

   或者

   sudo dnf update bind-export-libs

   這將檢查可用的更新并安裝最新版本的bind-export-libs軟件包，將其升級到修復了CVE-2020-8625漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的bind-export-libs是否已成功安裝：

   rpm -q bind-export-libs

   確保版本號已更新到修復了CVE-2020-8625漏洞的版本（例如，9.11.4-26.P2.el7_9.4或更高版本）。

• 1

通過更新bind-export-libs軟件包，您將能夠修復系統中存在的CVE-2020-8625安全漏洞。務必及時應用安全更新以確保系統的安全性。

10. 漏洞：CVE-2023-2828

發現以下系統軟件存在安全漏洞：
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.14
涉及漏洞：CVE-2023-2828
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2023:41521234

要修復涉及到的CVE-2023-2828安全漏洞，您需要升級您系統上的bind-export-libs軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新bind-export-libs軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新bind-export-libs軟件包：

   sudo yum update bind-export-libs

   或者

   sudo dnf update bind-export-libs

   這將檢查可用的更新并安裝最新版本的bind-export-libs軟件包，將其升級到修復了CVE-2023-2828漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的bind-export-libs是否已成功安裝：

   rpm -q bind-export-libs

   確保版本號已更新到修復了CVE-2023-2828漏洞的版本（例如，9.11.4-26.P2.el7_9.14或更高版本）。

• 1

通過更新bind-export-libs軟件包，您將能夠修復系統中存在的CVE-2023-2828安全漏洞。務必及時應用安全更新以確保系統的安全性。

11. 漏洞：CVE-2021-25215

發現以下系統軟件存在安全漏洞：
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.5
涉及漏洞：CVE-2021-25215
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2021:14691234

要修復涉及到的CVE-2021-25215安全漏洞，您需要升級您系統上的bind-export-libs軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新bind-export-libs軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新bind-export-libs軟件包：

   sudo yum update bind-export-libs

   或者

   sudo dnf update bind-export-libs

   這將檢查可用的更新并安裝最新版本的bind-export-libs軟件包，將其升級到修復了CVE-2021-25215漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的bind-export-libs是否已成功安裝：

   rpm -q bind-export-libs

   確保版本號已更新到修復了CVE-2021-25215漏洞的版本（例如，9.11.4-26.P2.el7_9.5或更高版本）。

• 1

通過更新bind-export-libs軟件包，您將能夠修復系統中存在的CVE-2021-25215安全漏洞。務必及時應用安全更新以確保系統的安全性。

12. 漏洞：CVE-2023-3341

發現以下系統軟件存在安全漏洞：
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.15
涉及漏洞：CVE-2023-3341
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2023:56911234

要修復涉及到的CVE-2023-3341安全漏洞，您需要升級您系統上的bind-export-libs軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新bind-export-libs軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新bind-export-libs軟件包：

   sudo yum update bind-export-libs

   或者

   sudo dnf update bind-export-libs

   這將檢查可用的更新并安裝最新版本的bind-export-libs軟件包，將其升級到修復了CVE-2023-3341漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的bind-export-libs是否已成功安裝：

   rpm -q bind-export-libs

   確保版本號已更新到修復了CVE-2023-3341漏洞的版本（例如，9.11.4-26.P2.el7_9.15或更高版本）。

• 1

通過更新bind-export-libs軟件包，您將能夠修復系統中存在的CVE-2023-3341安全漏洞。務必及時應用安全更新以確保系統的安全性。

13. 漏洞：CVE-2022-38177、CVE-2022-38178

發現以下系統軟件存在安全漏洞：
bind-export-libs-9.11.4-26.P2.el7_9.3 版本低于 9.11.4-26.P2.el7_9.10
涉及漏洞：CVE-2022-38177、CVE-2022-38178
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2022:67651234

要修復涉及到的CVE-2022-38177和CVE-2022-38178安全漏洞，您需要升級您系統上的bind-export-libs軟件包到修復了這些漏洞的最新版本。以下是修復步驟：

1. 更新bind-export-libs軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新bind-export-libs軟件包：

   sudo yum update bind-export-libs

   或者

   sudo dnf update bind-export-libs

   這將檢查可用的更新并安裝最新版本的bind-export-libs軟件包，將其升級到修復了CVE-2022-38177和CVE-2022-38178漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的bind-export-libs是否已成功安裝：

   rpm -q bind-export-libs

   確保版本號已更新到修復了CVE-2022-38177和CVE-2022-38178漏洞的版本（例如，9.11.4-26.P2.el7_9.10或更高版本）。

• 1

通過更新bind-export-libs軟件包，您將能夠修復系統中存在的CVE-2022-38177和CVE-2022-38178安全漏洞。務必及時應用安全更新以確保系統的安全性。

14. 漏洞：CVE-2018-25032

發現以下系統軟件存在安全漏洞：
zlib-1.2.7-19.el7_9 版本低于 1.2.7-20.el7_9
zlib-devel-1.2.7-19.el7_9 版本低于 1.2.7-20.el7_9
涉及漏洞：CVE-2018-25032
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2022:221312345

要修復涉及到的CVE-2018-25032安全漏洞，您需要升級系統上的zlib和zlib-devel軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新zlib和zlib-devel軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新這兩個軟件包：

   sudo yum update zlib zlib-devel

   或者

   sudo dnf update zlib zlib-devel

   這將檢查可用的更新并安裝最新版本的zlib和zlib-devel軟件包，將其升級到修復了CVE-2018-25032漏洞的版本。

• 1

• 1

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的zlib和zlib-devel是否已成功安裝：

   rpm -q zlib zlib-devel

   確保版本號已更新到修復了CVE-2018-25032漏洞的版本（例如，1.2.7-20.el7_9或更高版本）。

• 1

通過更新zlib和zlib-devel軟件包，您將能夠修復系統中存在的CVE-2018-25032安全漏洞。務必及時應用安全更新以確保系統的安全性。

15. SSH 登錄超時配置檢測

風險描述
未啟用SSH登錄超時配置

解決方案
1、在【/etc/ssh/sshd_config】文件中設置【LoginGraceTime】為60

溫馨提示
將LoginGraceTime參數設置為一個較小的數字將最大限度地降低對SSH服務器成功進行暴力破解的風險。它還將限制并發的未經身份驗證的連接數量。12345678

sudo vim /etc/ssh/sshd_config
/LoginGraceTime 回車全局搜索
修改即可123

16. 檢查是否設置無操作超時退出

風險描述
未配置命令行超時退出

解決方案
1、在文件【/etc/profile】中添加tmout=300，等保要求不大于600秒
2、執行命令source /etc/profile使配置生效

溫馨提示
此方案會使服務器命令行超過一定時間未操作自動關閉，可以加強服務器安全性。123456789

17. 檢查是否允許空密碼sudo提權

風險描述
以下sudo文件存在NOPASSWD標記：【/etc/sudoers】

解決方案
1、打開/etc/sudoers或是/etc/sudoers.d下的文件
2、刪除或注釋【NOPASSWD】標記所在行

溫馨提示
當sudo使用【NOPASSWD】標記時，允許用戶使用sudo執行命令，而無需進行身份驗證。這種不安全的配置可能導致黑客奪取服務器的高級權限。123456789

18. 用戶FTP訪問安全配置檢查

風險描述
當前pure-ftpd未配置安全訪問，在【pure-ftpd.conf】文件中修改/添加Umask的值為177:077

解決方案
1、在【/www/server/pure-ftpd/etc/pure-ftpd.conf】在配置文件中修改Umask的值為177:077

溫馨提示
此方案可以增強對FTP服務器的防護，降低服務器被入侵的風險12345678

19. 檢查重要文件是否存在suid和sgid權限

風險描述
以下文件存在sid特權，chmod u-s或g-s去除sid位："/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport"

解決方案
1、使用chmod u-s/g-s 【文件名】命令修改文件的權限

溫馨提示
此方案去除了重要文件的特殊權限，可以防止入侵者利用這些文件進行權限提升。12345678

sudo chmod u-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport
sudo chmod g-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport12

20. SSH密碼復雜度檢查

風險描述
【/etc/security/pwquality.conf】文件中把minclass設置置為3或者4

解決方案
1、【/etc/security/pwquality.conf】 把minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類）設置為3或4。如：
2、minclass=3

溫馨提示
此方案加強服務器登錄密碼的復雜度，降低被爆破成功的風險。123456789

21. 檢測PHP是否關閉錯誤提示

風險描述
未關閉錯誤信息提示的PHP版本有：5.6

解決方案
1、根據風險描述，在【軟件商店】-【運行環境】找到對應版本的PHP插件，在【配置修改】頁面，將display_errors設置為關閉并保存

溫馨提示
PHP錯誤提示可能會泄露網站程序的敏感信息；此方案通過關閉【display_errors】選項，防止網站信息泄露。12345678

22. SSH 空閑超時時間檢測

風險描述
當前SSH空閑超時時間為：0，請設置為600-900

解決方案
1、在【/etc/ssh/sshd_config】文件中設置【ClientAliveInterval】設置為600到900之間
2、提示：SSH空閑超時時間建議為：600-900

溫馨提示
此方案可以增強SSH服務的安全性，修復后連接SSH長時間無操作會自動退出，防止被他人利用。123456789

23. 未使用安全套接字加密遠程管理ssh

風險描述
未使用安全套接字加密遠程管理ssh

解決方案
1、在【/etc/ssh/sshd_config】文件中添加或修改Protocol 2
2、隨后執行命令systemctl restart sshd重啟進程

溫馨提示
此方案可以增強對SSH通信的保護，避免敏感數據泄露。123456789

你可以使用文本編輯器來添加或修改 /etc/ssh/sshd_config 文件中的 Protocol 選項，將其設置為使用 SSH 協議版本 2。在大多數情況下，SSH 默認使用協議版本 2，但如果你需要明確設置或更改，可以按照以下步驟操作：

1. 打開終端或 SSH 連接，并以具有管理員權限的用戶身份登錄到系統中。

2. 使用文本編輯器（例如 nano、vim 或 gedit）打開 /etc/ssh/sshd_config 文件。例如，在終端中使用 nano 編輯器：

sudo nano /etc/ssh/sshd_config1

3. 找到 Protocol 行（如果不存在，請在文件末尾添加），確保其指定的協議為 2。如果有行注釋（以 # 開頭），請刪除注釋符號 # 并確保行中的協議設置正確。如果沒有找到 Protocol 行，則可以手動添加：

Protocol 21

4. 保存更改（在 nano 中使用 Ctrl + O，然后按 Enter 鍵，然后使用 Ctrl + X 來退出 nano 編輯器）。

5. 重新加載 SSH 服務以使更改生效。你可以執行以下命令來重新加載 SSH 服務：

sudo systemctl reload sshd1

這樣，SSH 服務器將使用協議版本 2 進行連接。確保在更改配置文件后測試 SSH 連接，以確保一切正常工作。

23. 檢測是否限制密碼重復使用次數

風險描述
未限制密碼重復使用次數

解決方案
1、配置文件備份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5

溫馨提示
此方案通過限制登錄密碼重復使用次數，加強服務器訪問控制保護。123456789

類似這樣

password sufficient pam_unix.so remember=51

24. 檢查SSH密碼修改最小間隔

風險描述
【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7

解決方案
1、【/etc/login.defs】 PASS_MIN_DAYS 應設置為大于等于7
2、PASS_MIN_DAYS 7 需同時執行命令設置root 密碼失效時間 命令如下: chage --mindays 7 root

溫馨提示
此方案是設置SSH登錄密碼修改后，多少天之內無法再次修改。123456789

直接執行

chage --mindays 7 root1

25. 漏洞：CVE-2023-3899

發現以下系統軟件存在安全漏洞：
subscription-manager-rhsm-certificates-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
subscription-manager-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
subscription-manager-rhsm-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
python-syspurpose-1.24.51-1.el7.centos 版本低于 1.24.52-2.el7_9
涉及漏洞：CVE-2023-3899
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2023:47011234567

要修復涉及到的CVE-2023-3899安全漏洞，您需要升級系統上的以下軟件包到修復了這個漏洞的最新版本：subscription-manager-rhsm-certificates、subscription-manager、subscription-manager-rhsm和python-syspurpose。以下是修復步驟：

1. 更新軟件包： 在您的系統上，您可以使用以下命令來更新這些軟件包：

   sudo yum update subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose

   或者

   sudo dnf update subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose

   這將檢查可用的更新并安裝最新版本的這些軟件包，將其升級到修復了CVE-2023-3899漏洞的版本。

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的這些軟件包是否已成功安裝：

   rpm -q subscription-manager-rhsm-certificates subscription-manager subscription-manager-rhsm python-syspurpose

   確保版本號已更新到修復了CVE-2023-3899漏洞的版本（例如，1.24.52-2.el7_9或更高版本）。

通過更新這些軟件包，您將能夠修復系統中存在的CVE-2023-3899安全漏洞。務必及時應用安全更新以確保系統的安全性。

26. 漏洞：CVE-2020-25692

發現以下系統軟件存在安全漏洞：
openldap-2.4.44-22.el7 版本低于 2.4.44-23.el7_9
涉及漏洞：CVE-2020-25692
詳情參考官方公告：https://access.redhat.com/errata/RHSA-2021:13891234

要修復涉及到的CVE-2020-25692安全漏洞，您需要升級系統上的openldap軟件包到修復了這個漏洞的最新版本。以下是修復步驟：

1. 更新openldap軟件包： 在您的Red Hat系統上，您可以使用以下命令來更新openldap軟件包：

   sudo yum update openldap

   或者

   sudo dnf update openldap

   這將檢查可用的更新并安裝最新版本的openldap軟件包，將其升級到修復了CVE-2020-25692漏洞的版本。

2. 驗證更新： 完成更新后，您可以使用以下命令來驗證新版本的openldap是否已成功安裝：

   rpm -q openldap

   確保版本號已更新到修復了CVE-2020-25692漏洞的版本（例如，2.4.44-23.el7_9或更高版本）。

通過更新openldap軟件包，您將能夠修復系統中存在的CVE-2020-25692安全漏洞。務必及時應用安全更新以確保系統的安全性。

27. 設置ssh登錄白名單

風險描述
未設置ssh登錄白名單

解決方案
1、在【/etc/hosts.deny】添加ALL:ALL
2、在【/etc/hosts.allow】添加sshd:【來訪者IP地址】

溫馨提示
此方案會阻擋除白名單以外的其余IP登錄服務器，增強服務器的安全防護。注意此方案存在風險，修復之前一定要確保已添加可訪問服務器的IP。123456789

原文來源：https://blog.csdn.net/Slience_me/article/details/135362696