Mysql
Mysql是常见的关系型数据库之一,翻了下最新的漏洞情况有CVE-2016-6662和一个Mysql代码执行漏洞。由于这两个漏洞实现均需要获取到服务器权限,这里就不展开介绍漏洞有兴趣的可以看下相关文章,主要讲一下Mysql安全加固。
漏洞详情&修复参考:
在互联网企业中Mysql是很常见的服务,我这边提几点Mysql的安全加固,首先对于某些高级别的后台比如运营,用户等能涉及到用户信息的可以做蜜罐表。在项目申请资源的时候就要做好权限的划分,我们是运维同学保留最高权限,给开发一个只读用户和一个开发权限的用户进行使用,密码一律32位,同时指定机器登录数据库,删除默认数据库和数据库用户。
找了一篇还不错的加固文章提供参考:
Struts2
Struts2是一个优雅的,可扩展的框架,用于创建企业准备的Java Web应用程序。出现的漏洞也着实的多每爆一个各大漏洞平台上就会被刷屏。
漏洞详情&修复参考:
- http://blog.nsfocus.net/apache-struts2-vulnerability-technical-analysis-protection-scheme-s2-033/
- http://blog.nsfocus.net/apache-struts2-vulnerability-technical-analysis-protection-scheme-s2-037/
在线检测平台:
记得有一段时间Struts2的漏洞连续被爆出,自动化的工具也越来越多S2-032,S2-033,S2-037,乌云首页上都是Struts2的漏洞,有国企行业的有证券公司的使用者都分分中招,如果有使用的话还是建议升级到最新稳定版。
ImageMagick
ImageMagick是一个图象处理软件。它可以编辑、显示包括JPEG、TIFF、PNM、PNG、GIF和Photo CD在内的绝大多数当今最流行的图象格式。
影响范围:
- ImageMagick 6.5.7-8 2012-08-17
- ImageMagick 6.7.7-10 2014-03-06
- 低版本至6.9.3-9released 2016-04-30
漏洞详情&修复参考:
这个漏洞爆出来时也是被刷屏的,各大互联网公司都纷纷中招,利用一张构造的图片使用管道服符让其执行反弹shell拿到服务器权限,产生原因是因为字符过滤不严谨所导致的执行代码.对于文件名传递给后端的命令过滤不足,导致允许多种文件格式转换过程中远程执行代码。
3.应用安全隐患
为了不加长篇幅长度,加固具体步骤可以自行搜索。
SSH
之前有人做过实验把一台刚初始化好的机器放公网上看多久会遭受到攻击,结果半个小时就有IP开始爆破SSH的密码,网上通过SSH弱密码进服务器的案列也比比皆是。
安全隐患:
弱密码
加固建议:
禁止使用密码登录,更改为使用KEY登录 禁止root用户登录,通过普通权限通过连接后sudo到root用户 修改默认端口(默认端口为22)
Redis
Redis默认是没有密码的,在不需要密码访问的情况下是非常危险的一件事,攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。
安全隐患:
未认证访问 开放公网访问
加固建议:
禁止把Redis直接暴露在公网 添加认证,访问服务必须使用密码
Jenkins
Jenkins在公司中出现的频率也特别频繁,从集成测试到自动部署都可以使用Jenkins来完成,默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者通过暴力破解用户密码进脚本执行界面从而获取服务器权限。
安全隐患:
登录未设置密码或密码过于简单 开放公网访问
加固建议:
禁止把Jenkins直接暴露在公网 添加认证,建议使用用户矩阵或者与JIRA打通,JIRA设置密码复杂度
Zookeeper
分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。Zookeeper默认也是未授权就可以访问了,特别对于公网开放的Zookeeper来说,这也导致了信息泄露的存在。
安全隐患:
开放公网访问 未认证访问
加固建议:
禁止把Zookeeper直接暴露在公网 添加访问控制,根据情况选择对应方式(认证用户,用户名密码,指定IP)
Zabbix
Zabbix为运维使用的监控系统,可以对服务器各项指标做出监控报警,默认有一个不需要密码访问的用户(Guest)。可以通过手工SQL注入获取管理员用户名和密码甚至拿到session,一旦攻击者获取Zabbix登录权限,那么后果不堪设想。
安全隐患:
开放公网访问 未删除默认用户 弱密码
加固建议:
禁止把Zabbix直接暴露在公网 删除默认用户 加强密码复杂度
Elasticsearch
Elasticsearch是一个基于Lucene的搜索服务器。越来越多的公司使用ELK作为日志分析,Elasticsearch在低版本中存在漏洞可命令执行,通常安装后大家都会安装elasticsearch-head方便管理索引,由于默认是没有访问控制导致会出现安全隐患。
发表评论