最近linux系统安全加固,一些漏洞修复经验和大家分享一下!
RPC Statd 服务 RPC类 危险级别:::高 发现主机########################################################## 漏洞编号 漏洞分类RPC类 危险级别 高 影响平台AIX IRIX DG/UX HPUX: 9.x, HPUX: 10.x NEC EWS-UX/V,NEC UP-UX/V,NEC UX/4800, NeXT STEP NCR linux 详细描述: 远程rpc.lockd 文件可能提供假的信息给rpc.statd 文件,使文件可以被移动或新建。RPC statd 与RPC lockd 一起工作维护状态信息,来提供跨NKS文件锁定的崩溃及恢 复功能。因为statd不验证从远程lockd 收到的信息,所以攻击者可以发送RPC去建立或取消系统上任何文件。 修补建议 建议您采取以下措施进行修补以降低威胁: 请用户联系供应商或他们的网站,索取补丁或参考供应商的指示。选定以下的操作系统: 1.Hewlett-Packard: 安装补丁前,请阅读Security Advisory HPSBUX9607-032 "Security Vulnerability in rpc.pcnfsd & rpc.statd." 输入patch Ids 作为搜索 字串及点击Search Technical Knowledge Base 链接,就可以看到这篇文章。The HP Patch Database 不需要付费口令。网址:http://us- support.external.hp.com/wpsl/bin/doc.pl/. 登录后,到Individual Patches (Patch Database) 的库,搜索符合你漏洞版本的HP-UX 扑丁。 2.IBM 的补丁网址:http://aix.boulder.ibm.com/aix.us/aixfixes. 输入APAR 号,就可以得到有关资料及补丁。 3.Sony: NEWS-OS Patch Ids: 0124, 6063, 6176, 及6207. 4.NEWS-OS 补丁的网址:ftp://ftp1.sony.co.jp/pub/patch/news-os/un-official. 5.DEC (Digital Equipment Corporation): Ultrix ECO ID#: SSRT03901;OSF/1 ECO ID#: SSRT038301 网址 : http://www.service./html/patch_service.html 6.SunOS 补丁的网址:http://sunsolve./sunsolve/pubpatches/patches.html. 7.Silicon Graphics:之前的版本升级到IRIX 5.3;之后的版本使用SGI Security Advisory描述的修复方法。安装补丁前,请阅读SGI Security Advisory 19971201-01- P: "Buffer Overrun Vulnerability in statd(1M) Program" 网址:ftp://sgigate./security/19971201-01-P1391.SGI 补丁的网址:http://www./Support/security/security.html. 以前的版本一定要升级或采用“安全建议”给出的暂时修复方法,专为IRIX 5.3 平台的补丁在网址:ftp://sgigate./patches/5.3/patch1391.tar 8.linux平台: 联系系统厂商获取最新版本。 www. ######################################################################### 我的修复之旅! 如果你的系统没有使用NFS服务就关掉rpc.statd服务,下面说一下,RPC的作用和如何关闭! CentOS使用核心级的支持和守护进程的组合来提供NFS文件共享.NFS依靠远程过程调用(RPC)在客户端和服务器端路由请求。而在Linux下RPC服务由portmap服务控制。为了能够正常 使用NFS,还需要一些相关的服务来协同工作: nfs:启动相应RPC服务进程来服务对于NFS文件系统的请求。 nfslock:一个可选的服务,用于启动相应的RPC进程,允许NFS客户端在服务器上对文件加锁。 portmap:Linux的RPC服务,它响应RPC服务的请求和与请求的RPC服务建立连接。 下面的RPC后台进程是为NFS提供服务的 rpc.mountd:这个进程接受来自NFS客户端的加载请求和验证请求的文件系统正在被输出。这个进程由NFS服务自动启动,不需要用户的配置。 rpc.nfsd:这个进程是NFS服务器.它和Linux核心一起工作来满足NFS客户端的动态需求,例如提供为每个NFS客户端的每次请求服务器线程。这个进程对应于nfs服务。 rpc.lockd:一个可选的进程,它允许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务。 rpc.statd:这个进程实现了网络状态监控(NSM)RPC协议,通知NFS客户端什么时候一个NFS服务器非正常重启动。这个进程被nfslock服务自动启动。不需要用户的配置。 rpc.rquotad:这个进程对于远程用户提供用户配额信息。这个进程被nfs服务自动启动,不需要用户的配置。 所以说,要想关掉CentOS的rpc.statd服务,我们只需要执行下面的命令就能搞定 rpcgssd, rpcidmapd, rpcsvcgssd 用于NFS v4。除非你需要或使用NFS v4,否则关闭它。 具体操作如下: 1停服务 service nfslock stop service portmap stop /etc/init.d/rpcgssd stop /etc/init.d/rpcidmapd stop /etc/init.d/rpcsvcgssd stop 2禁止开机启动 chkconfig nfslock off chkconfig portmap off chkconfig rpcgssd off chkconfig rpcidmapd off chkconfig rpcsvcgssd off 3查看状态 /etc/init.d/nfslock status /etc/init.d/portmap status /etc/init.d/rpcgssd status /etc/init.d/rpcidmapd status /etc/init.d/rpcsvcgssd status 本文出自 “康建华” 博客 |
|