前幾天發了一篇等保2.0的文章(等保2.0簡單介紹 )，文章里面提到，相比于等保1.0標準，等保2.0很大幅度上對安全通用要求的一些控制項做了大幅精簡，但是等保二級的要求仍多達135項、等保三級多達211項。

https://mp.weixin.qq.com/s/kEUQ77WYeGGrTtM7_ShHyA

本文主要就系統漏洞展開，用一次真實軟件的部署過程來簡單說一下系統安全漏洞的檢查與規避方法。

二級等保的基線判分標準中關于主機或系統漏洞的要求項共有四點：

三級等保的基線判分標準中關于主機或系統漏洞的要求項增加了兩點：

總結一下，關于主機系統或網絡安全，應該做到以下幾個方面：

1、從源頭開始控制。如最小化安裝系統、嚴格控制開啟服務，保證服務器未運行多余的或者存在風險的服務；

2、從傳播途徑中進行控制。如配置訪問控制，如果服務器上有針對內外網不同的服務，可以通過限制訪問進行網絡阻斷，只允許特定主機或網絡訪問指定服務器的指定服務或端口；

3、要定期進行網絡漏洞掃描及安全檢查，及時處理掉發現的問題，同時對檢查和處理結果進行歸檔，以備查驗；

4、對關鍵業務系統、配置等要有數據備份，同時要建立完善的工作管理機制文檔、應急處置預案等資料體系。

1、新裝操作系統檢查

實驗環境下使用最小化安裝部署了一臺CentOS操作系統，部署完成之后使用漏洞掃描工具先掃描默認狀態下的系統健康情況：

可以看到，主要是SSH的漏洞，因為最小化安裝后服務器開啟服務少。嘗試先升級SSH版本。先更新yum list到最新。

查看當前SSH版本：

更新SSH版本：

[root@localhost itac]# yum install -y openssh

再次執行掃描任務，主機狀態如下：

發現只剩下7.5及之后的中風險漏洞。一般的掃描引擎是更新到7.5以后就沒問題了，所以yum源最新的版本能滿足大多數客戶要求。最好是能升級到最新版本(查詢到最新版本已經是8.0p1)，但是要到yum源站去下載rpm包，上傳到服務器再進行安裝更新，有興趣的小伙伴可以操作一下。

同理，可以使用yum update -y一次性將系統中所有安裝組件的版本更新到最新，但是在有業務的前提下不建議這么操作，因為業務上對版本可能有依賴關系，需要慎重操作。

2、使用腳本安裝軟件

安裝完成之后使用云漏掃掃描主機狀態：

發現問題主要集中在tomcat組件和PHP組件上，但是這些組件部署在docker里面，沒有訪問權限，需要跟隨軟件版本一同更新，所以無法做升級處理，很大程度上存在安全隱患。

同時發現不同廠商掃描規則略有不同，主要體現在掃描方式、規則庫、關注信息的不同上，同樣操作系統用綠盟的漏洞掃描系統進行掃描，除前示信息展示外，還有一項狀態信息展示：

3、修改防火墻策略：

當前系統安裝完成之后默認防火墻是打開的，但是部署腳本關閉了防火墻：

還好SSH不受防火墻的影響，可以直接開啟防火墻：

開啟完成之后掃描一次，發現大部分漏洞都因為防火墻無法訪問被限制住了，但是連系統信息也獲取不到了：

看一下防火墻的規則：

沒有任何規則，現在這種情況下，去打開軟件的服務端口TCP 8080-8083是不可能的，需要增加放通規則。但是出于安全考慮，建議只放通幾個IP的全部訪問，一個IP是需要登錄控制這臺服務器的主機，一般是你正在使用的主機IP；另外就是需要和軟件發生聯系的IP地址，一般包括其他訪問該服務器的主機IP和該服務器需要訪問的IP地址。命令如下：

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.20.100" port protocol="tcp" port="0-65535" accept"

# 以本機IP地址172.16.20.100為例

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.88.200.254" port protocol="tcp" port="0-65535" accept"

#假設還有一臺IP地址為10.88.200.254的主機需要和該服務器互相訪問

之后按照軟件的服務需求再添加入棧策略規則，該軟件作為日志接收和FTP服務器，需要開啟UDP 514端口和TCP 20、21端口：

firewall-cmd --zone=public --add-port=514/udp –-permanent

firewall-cmd --zone=public --add-port=20/tcp –-permanent

firewall-cmd --zone=public --add-port=21/tcp –-permanent

注意重新加載以激活配置：

firewall-cmd --reload

命令行操作效果：

查看結果：

測試從本地訪問軟件的8080頁面：

在本地幾個頁面均能正常訪問，再使用云漏掃測試一下，發現漏洞唄規避。這其中主要的原因就是漏掃服務器無法訪問到主機的這些業務端口，所以也就無從獲取到主機的漏洞信息。

使用上述方法進行配置，可以保證一些主要業務需求的正常訪問，同時安全性較高，能夠有效降低掃描中出現漏洞或者風險。但是在條件允許的情況下還是建議對涉及的安全漏洞進行打補丁或者升級，畢竟打鐵還要自身硬；自己沒毛病，才能他強任他強，清風拂山崗。

關于網絡部分配置的內容，后面會放到配置合規檢查中進行介紹，歡迎持續關注。

總結

以上是生活随笔為你收集整理的绿盟漏洞扫描_主机安全漏洞解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。