일반적인 녹색 동맹 스 캔 호스트 구멍 및 복구 방안

1. 서버 지원 SSL Insecure Renegotiation (CVE - 2009 - 3555) 【 원리 스 캔 】 중.
복구 의견:
openssl 을 업그레이드 하여 복원 하 는 것 을 권장 합 니 다. openssl - 0.98m 이후 버 전 은 이 구멍 을 복 구 했 고 Secure Renegotiation 을 사 용 했 습 니 다.
2, SSL / TLS 경고 선물 (BAR - MITZVAH) 공격 구멍 (CVE - 2015 - 2808)  중.
복구 의견:
NGINX 수리
nginx 프로필 의 ssl 수정암호 항목

ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;
다시 불 러 오기:
$sudo /etc/init.d/nginx reload
apache 복구
프로필 열기
$ sudo vi /etc/httpd/conf.d/ssl.conf
설정 수정
SSLCipherSuite
HIGH:MEDIUM:!aNULL:!MD5;!RC4
$ sudo /etc/init.d/httpd restart
TOMCAT 복구
server.xml 중 SSL connector 는 다음 과 같은 내용 을 추가 합 니 다.

SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

3. SSL 3.0 POODLE 공격 정보 유출 구멍 (CVE - 2014 - 3566) 중.
복구 의견:
Apache
mod 에서ssl 설정 파일 에서 다음 명령 을 사용 하여 SSLv 2 와 SSLv 3: SSLProtocol All - SSlv 2 - SSlv 3 를 사용 하지 않 고 아파 치 를 다시 시작 합 니 다.
Nginx
프로필 에 사용: sslprotocols TLSv1 TLSv1.1 TLSv1.2; Nginx 다시 시작
4. OpenSSL SSL - Death - Alert 서비스 거부 빈틈 (CVE - 2016 - 8610)
복구 버 전:
openssl - 1.0.2 분기 의 1.0.2i 및 후속 버 전
openssl - 1.1.0 분기 의 1.1.0a 및 후속 버 전
5. 서버 지원 SSL Insecure Renegotiation (CVE - 2009 - 3555)
복구 버 전: openssl - 0.98m 이후 버 전
 
6. SSL / TLS 서버 순간 Diffie - Hellman 공공 키 가 너무 약 합 니 다.
복구 방안:
1. 최신 JDK 버 전 (8.0 이상) 으로 업그레이드 하면 바로 이 문 제 를 해결 할 수 있 습 니 다.
2. JDK 를 업그레이드 할 방법 이 없 으 면 서버 암호 화 키 트 의 설정 을 조정 하여 해결 할 수 있 습 니 다.Tomcat 는 자바 1.6 을 기반 으로 server. xml 에 다음 ciphers 설정 을 추가 하 십시오.
……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA">

자바 7 기반 으로 server. xml 에 다음 ciphers 설정 을 추가 하 십시오.
……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA">

Weblogic
config. xml 파일 을 찾 아 편집 매개 변 수 를 수정 합 니 다. 증가:
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
7. 원 격 rexec 서비스 가 실행 중 입 니 다.  포트: 512  높다
rexecd 서 비 스 를 즉시 사용 하지 않 는 것 을 권장 합 니 다:
* windows 에서 rexecd 서 비 스 를 사용 하지 않 고 서비스 제어 판 을 엽 니 다. 서비스 목록 에서 rexec 항목 을 찾 아 서비스 중단 을 선택 하 십시오.
* 유 닉 스 시스템 에서 rexecd 서 비 스 를 사용 하지 않 고 "/ etc / inetd. conf" 에 "exec" 줄 을 주석 하고 inetd 서 비 스 를 다시 시작 합 니 다.
8. 서버 지원 TLS Client - initiated 재 협상 공격 (CVE - 2011 - 1473) [원리 스 캔]
복구 방안:
Apache 해결 방법: Apache 2.2.15 이후 버 전 으로 업그레이드
IIS 솔 루 션: IIS 5.0 이 SSL 서 비 스 를 사용 할 때 도 영향 을 받 습 니 다.IIS 6.0 을 더 높 은 버 전 으로 업그레이드 할 수 있 습 니 다.
Lighttpd 솔 루 션: lighttpd 1.4.30 또는 더 높 은 곳 으로 업그레이드 하고 ssl. disable - client - rengotiation = "enable" 을 설정 하 는 것 을 권장 합 니 다.
Nginx 솔 루 션: nginx - 1.15.2 버 전 으로 업그레이드
Tomcat 해결 방법:
1. BIO connector 대신 NIO connector 를 사용 합 니 다. NIO 는 재 협상 을 지원 하지 않 기 때문에 다음 설정 을 참고 하 십시오. (Tomcat 성능 에 영향 을 줄 수 있 음)
2. Nginx 역방향 대 리 를 설정 하고 Nginx 에서 OpenSSL 과 관련 된 문 제 를 복원 합 니 다.참조 링크:https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid 솔 루 션: 3.5.24 및 이후 버 전 으로 업그레이드
9. OpenSSL TLS 심장 박동 확장 프로 토 콜 패키지 원 격 정보 유출 구멍 (CVE - 2014 - 0160) [원리 스 캔]
영향 시스템:
OpenSSL Project OpenSSL 1.0.2-beta1
OpenSSL Project OpenSSL 1.0.2-beta
OpenSSL Project OpenSSL 1.0.1f
OpenSSL Project OpenSSL 1.0.1e
OpenSSL Project OpenSSL 1.0.1d
OpenSSL Project OpenSSL 1.0.1c
OpenSSL Project OpenSSL 1.0.1b
OpenSSL Project OpenSSL 1.0.1a
OpenSSL Project OpenSSL 1.0.1
영향 을 받 지 않 는 시스템:
OpenSSL Project OpenSSL 1.0.2-beta2
OpenSSL Project OpenSSL 1.0.1g
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8
임시 해결 방법:
NSFOCUS 는 OpenSSL 1.0.1g 으로 업그레이드 하 는 것 을 권장 합 니 다.단, 패 치 를 즉시 설치 하거나 업그레이드 할 수 없다 면 다음 과 같은 조 치 를 취해 위협 을 낮 출 수 있 습 니 다.
* 사용 - DOPENSLNO_HEARTBEATS 옵션 은 OpenSSL 을 다시 컴 파일 합 니 다.
제조 업 체 패 치:
OpenSSL Project
—————
Openssl 은 이미 Openssl 1.0.1g 을 발표 하여 이 문 제 를 복 구 했 습 니 다.:
제조 업 체 안전 공지:
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
OpenSSL 1.0.2 Releases 에 대해 업 체 는 1.0.2 - beta 2 에서 복구 하 겠 다 고 밝 혔 다.
주류 리 눅 스 발행 판도 이미 관련 패 치 를 발 표 했 으 니 가능 한 한 빨리 업그레이드 해 주 십시오.
10. Redis 설정 이 적당 하지 않 으 면 서버 가 제 어 됩 니 다 [원리 스 캔]
복구 방안:
이 구멍 을 방지 하려 면 다음 과 같은 세 가지 문 제 를 복구 해 야 한다.
첫째: redis 바 인 딩 된 IP 를 수정 합 니 다. 이 컴퓨터 에서 만 redis 서 비 스 를 사용 하면 127.0.0.0.1 다른 호스트 가 redis 서 비 스 를 방문 해 야 한다 면 클 라 이언 트 호스트 가 있 는 네트워크 의 인터페이스 만 바 인 딩 하지 않 는 것 이 좋 습 니 다. 0.0.0.0 또한 호스트 에 내 장 된 방화벽, 예 를 들 어 iptables 나 다른 외부 방화벽 을 통 해 비 즈 니스 호스트 가 redis 서비스 에 접근 하 는 것 을 금지 해 야 합 니 다.
두 번 째: redis. conf 에서 "requirepass" 필드 를 찾 아 설명 을 취소 하고 필요 한 비밀 번 호 를 입력 하 십시오.주: redis 설정 을 수정 하려 면 redis 를 다시 시작 해 야 유효 합 니 다.
셋째, 일반 사용자 로 redis 를 시작 하고 이 사용자 가 셸 을 시작 하 는 것 을 금지 하 며 루트 사용자 로 redis 를 시작 하 는 것 을 금지 합 니 다.
11. Redis 권한 이 부여 되 지 않 은 접근 구멍 [원리 스 캔]
복구 방안:
방법 1: 바 인 딩 된 IP, 포트 와 지정 한 방문 자 IP 를 구체 적 으로 실제 상황 에 따라 설정 할 수 있 고 서버 방화벽 에 직접 설정 할 수 있 습 니 다.
방법 2: redis. conf 에서 "requirepass" 필드 를 찾 아 설명 을 취소 하고 필요 한 비밀 번 호 를 입력 하 십시오.주: redis 설정 을 수정 하려 면 redis 를 다시 시작 해 야 유효 합 니 다.
12. ZooKeeper 에 접근 권한 이 부여 되 지 않 음 [원리 스 캔]
복구 방안:
ZooKeeper 에 접근 권한 을 설정 합 니 다.
방식 1:
1) 인증 사용자 추가 addauth digest 사용자 이름: 암호 명문 eg. addauth digest user 1: password 1
2) 설정 권한 setAcl / path auth: 사용자 이름: 비밀번호 명문: 권한 eg. setAcl / test auth: user 1: password 1: cdrwa
3) Acl 설정 getAcl / path 보기
방식 2:
setAcl / path digest: 사용자 이름: 비밀번호: 권한
13. 원 격 WWW 서비스 지원 TRACE 요청
복구 방안:
관리 자 는 TRACE 요청 에 대한 WWW 서 비 스 를 사용 하지 않 아야 합 니 다.IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F]