以下方法对于应付检查系统安全的制表不治本的方法,建议大家还是升级软件到新的版本。
1)更改openssl版本信息
[root@nas ~]# whereis openssl #查找openssl位置
openssl: /usr/bin/openssl /usr/include/openssl /usr/local/openssl /opt/openssl/bin/openssl /usr/share/man/man1/openssl.1ssl.gz
[root@nas ~]# ldd /usr/bin/openssl #openssl的版本信息存放在libcrypto.so中
libssl.so.4 => /lib/libssl.so.4 (0x00b8e000)
libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00b55000)
libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00986000)
libcom_err.so.2 => /lib/libcom_err.so.2 (0x00682000)
libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00b6b000)
libresolv.so.2 => /lib/libresolv.so.2 (0x0083f000)
libcrypto.so.4 => /lib/libcrypto.so.4 (0x00a6a000)
libdl.so.2 => /lib/libdl.so.2 (0x007b4000)
libz.so.1 => /usr/lib/libz.so.1 (0x007f3000)
libc.so.6 => /lib/tls/libc.so.6 (0x00687000)
/lib/ld-linux.so.2 (0x00669000)
[root@nas ~]# ls -l /lib/libcrypto.so.4
lrwxrwxrwx 1 root root 19 Feb 23 2008 /lib/libcrypto.so.4 -> libcrypto.so.0.9.7a
[root@nas ~]#
[root@nas ~]# ssh -V #显示openssl的版本
OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003
[root@nas ~]# cat /etc/issue
Red Hat Enterprise Linux AS release 4 (Nahant Update 4)
Kernel \r on an \m
[root@nas ~]# cp /lib/libcrypto.so.0.9.7a /lib/libcrypto.so.0.9.7a.bak
cp: overwrite `/lib/libcrypto.so.0.9.7a.bak'? y
[root@nas ~]# sed -i 's/0.9.7a/0.9.8j/g' /lib/libcrypto.so.0.9.7a #更改openssl的版本提示信息
[root@nas ~]# openssl version #显示openssl的版本
OpenSSL 0.9.8j Feb 19 2003
2)更改ssh版本
[root@localhost bin]# cp ssh ssh.bak
[root@localhost bin]# sed -i 's/OpenSSH_3.9p1/OpenSSH_4.0p1/g' ssh
[root@localhost bin]# ssh -V
OpenSSH_4.0p1, OpenSSL 0.9.8j Feb 19 2003
[root@localhost bin]#
更改ssh 22端口telnet提示信息:
[root@mail4 ~]# telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
SSH-1.99-OpenSSH_3.9p1
cp /usr/sbin/sshd /usr/sbin/sshd.bak
sed -i 's/OpenSSH_3.9p1/OpenSSH_4.0p1/g' /usr/sbin/sshd
[root@mail4 ~]#
telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
SSH-1.99-OpenSSH_4.0p1
3)隐藏apache和php的版本信息
a)隐藏apache的版本信息:
vi /var/eyou/apache/httpd.conf
找到ServerTokens 和ServerSignature
改成如下(没有的话添加下面两行)
ServerTokens ProductOnly
ServerSignature Off
b)隐藏php版本信息:
/var/eyou/php/lib/php.ini
expose_php On
改成
expose_php Off
同样用sed可以更改apache的httpd显示版本:
[root@nas bin]# strings ./httpd | grep 2.2.6
Apache/2.2.6 (Unix)
Apache/2.2.6
mod_ssl/2.2.6
[root@nas bin]# sed -i 's/2.2.6/2.2.8/g' httpd.bak
[root@nas bin]# ./htt
httpd httpd.bak httxt2dbm
[root@nas bin]# ./httpd.bak -version
Server version: Apache/2.2.8 (Unix)
Server built: Nov 30 2007 12:29:59
4)隐藏bind版本
隐藏bind的版本信息
如何隐藏bind版本信息
修改/etc/named.conf ,在named.conf文件里添加
options {
directory “/var/named”;
version “[no about your business]“;
};
重起named服务,再查看
5)nfs安全配置
[root@nas bin]# nfsstat -n #显示nfsd的版本
Server nfs v3:
null getattr setattr lookup access readlink
0 0% 25967451 19% 627992 0% 13020231 9% 16022769 11% 190 0%
read write create mkdir symlink mknod
50877114 37% 13603627 10% 4218978 3% 19815 0% 0 0% 0 0%
remove rmdir rename link readdir readdirplus
3376059 2% 24921 0% 209243 0% 3229 0% 0 0% 275524 0%
fsstat fsinfo pathconf commit
182 0% 0 0% 0 0% 5757974 4%
加强NFS安全的方法:
1、合理的设定/etc/exports中共享出去的目录,最好能使用anonuid,anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限,最好不要使用root_squash。
2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围
iptables -A INPUT -i eth0 -p TCP -s 10.0.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 10.0.0.0/24 --dport 111 -j ACCEPT
3、为了防止可能的Dos攻击,需要合理设定NFSD 的COPY数目。
linux中的NFSD的COPY数目是在/etc/rc.d/init.d/nfs这个启动文件中设置的, RPCNFSDCOUNT=8 默认是8个NFSD,对于这个参数的设置一般是要根据可能的CLIENT数目来进行设定的,和WSIZE、RSIZE一样也是要通过测试来找到最近的数值。
4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的
/etc/hosts.allow
portmap: 10.0.0.0/255.255.255.0 : allow
/etc/hosts.deny
portmap: ALL : deny
阅读(20466) | 评论(0) | 转发(0) |
