centos权限漏洞 centos7维护到2024年

大家好，今天来为大家分享centos权限漏洞的一些知识点，和centos7维护到2024年的问题解析，大家要是都明白，那么可以忽略，如果不太清楚的话可以看看本篇文章，相信很大概率可以解决您的问题，接下来我们就一起来看看吧！

CentOs web服务器安全防范经验总结

1.禁用ROOT权限登录。(重要)

2.安全组收缩不使用的端口，建议除443/80以及ssh登录等必要端口外全部关闭。

3.防火墙收缩不使用的端口，建议除443/80以及ssh登录端口外全部关闭。

4.更改ssh默认端口22

5.除登录USER，禁止其他用户su到root进程，并且ssh开启秘钥及密码双层验证登录。(重要)

6.限制除登录USER外的其他用户登录。

7.安装DenyHosts，防止ddos攻击。

8.禁止系统响应任何从外部/内部来的ping请求。

9.保持每天自动检测更新。

10.禁止除root之外的用户进程安装软件及服务，如有需要则root安装，chown给到用户。

11.定时给服务器做快照。

12.更改下列文件权限：

13.限制普通用户使用特殊命令，比如wget，curl等命令更改使用权限，一般的挖矿程序主要使用这几种命令操作。

1.nginx进程运行在最小权限的子用户中，禁止使用root用户启动nginx。(重要)

2.配置nginx.conf，防范常见漏洞：

1.禁止root权限启动apache服务！禁止root权限启动apache服务！禁止root权限启动apache服务！重要的事情说三遍！因为这个问题被搞了两次。

2.改掉默认端口。

3.清空webapps下除自己服务外的其他文件，删除用户管理文件，防止给木马留下后门。

4.限制apache启动进程su到root进程以及ssh登录，限制启动进程访问除/home/xx自身目录外的其他文件。

5.限制apache启动进程操作删除以及编辑文件，一般a+x即可。

1.关闭外网连接，与java/php服务使用内网连接。

2.在满足java/php服务的基础上，新建最小权限USER给到服务使用，禁止USER权限访问其他项目的库。

3.root密码不要与普通USER相同。

4.建议使用云库，云库具备实时备份，动态扩容，数据回退等功能，减少操作风险。

1.关闭外网连接，只允许内网交互，基本这个做了之后就已经稳了。

2.禁止root权限启动，运行在普通用户进程里。

3.更改默认端口。

4.添加登录密码。

以上是自己做的防范手段，不成熟见解，有一些方案待验证，不定时更新，欢迎大佬补充！

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。

Redis未授权漏洞利用

Redis，作为一种远程字典服务的内存型键值数据库，因其默认的0.0.0.0:6379监听端口和空密码设置，存在一个未授权访问的安全漏洞。该漏洞源于服务器权限的滥用，允许未经授权的用户获取系统权限，对系统安全构成威胁。

利用这个漏洞，攻击者可以通过四种方式来获取系统权限。首先，若Redis以root权限运行，攻击者可以写入SSH公钥文件，通过CentOS 7服务器的SSH免密登录。在本地生成公钥并将其上传到Redis服务器的/root/.ssh/authorized_keys，使得攻击者能无缝登录。

其次，攻击者可以利用Redis的数据库备份功能，通过定时任务检测并写入恶意命令到/etc/crontab，从而在不知情的情况下实现反弹shell攻击。

途径三，通过在CentOS系统中写入一句话木马，如果系统中已经安装了相关服务，攻击者可以利用菜刀工具连接并进一步操控系统。

最后，对于Redis 4.x/5.x的主从复制功能，攻击者可以利用这个机制执行恶意命令，进一步扩展攻击范围。

值得注意的是，尽管Redis提供了强大的功能，但其默认的安全设置需要用户格外留意，以防止潜在的未授权访问和安全风险。在实际应用中，务必采取适当的安全措施，如设置强密码或启用访问控制，以保障系统安全。