Linux 常见漏洞修复方法和防御措施整理
一、Linux 漏洞分类与危害
Linux 漏洞主要分为以下几类:
| 漏洞类型 | 典型案例 | 危害等级 |
|---|---|---|
| 权限提升 | Dirty COW (CVE-2016-5195) | 高 |
| 缓冲区溢出 | Bash Shellshock (CVE-2014-6271) | 高 |
| 服务漏洞 | OpenSSH 弱加密算法 | 中高 |
| 配置错误 | 777 权限文件、未关闭的 SSH 端口 | 中低 |
| 内核漏洞 | Spectre/Meltdown (2018 系列漏洞) | 极高 |
二、漏洞修复核心流程
三、常见漏洞修复方法与案例
1. 系统未打补丁(最常见漏洞)
漏洞原因:内核或软件未更新到最新版本。
修复方法:
# Debian/Ubuntu
sudo apt update && sudo apt upgrade -y# CentOS/RHEL
sudo yum update -y && sudo reboot # 内核更新需重启
防御措施:
- 启用自动更新:
# Ubuntu sudo systemctl enable --now unattended-upgrades
2. 弱密码与权限配置不当
漏洞案例:/etc/shadow 权限为 666,用户密码为 123456。
修复方法:
- 修复文件权限:
sudo chmod 600 /etc/shadow /etc/gshadow - 强化密码策略(参考前文密码策略配置)。
3. 不必要的服务与端口开放
漏洞案例:开放 22/tcp(SSH)、80/tcp(HTTP)但未使用。
修复方法:
- 关闭无用服务:
sudo systemctl stop telnet.socket && sudo systemctl disable telnet.socket - 防火墙限制(以
firewalld为例):sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent sudo firewall-cmd --reload
4. 缓冲区溢出漏洞(如 Shellshock)
漏洞描述:Bash 处理环境变量时执行任意代码。
修复方法:
- 更新 Bash:
sudo apt install bash # Debian/Ubuntu sudo yum update bash # CentOS/RHEL - 验证修复:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test" # 修复后应无 "vulnerable" 输出
5. 内核漏洞(如 Dirty COW)
漏洞原理:利用写时复制机制实现内存篡改。
修复方法:
- 升级内核:
# Ubuntu 20.04+ sudo apt install linux-image-generic - 验证内核版本:
uname -r # 应高于 4.8.3-0
6. SSH 弱加密算法
漏洞风险:使用 arcfour 等过时加密算法。
修复方法:
- 修改
/etc/ssh/sshd_config:Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512,hmac-sha2-256 - 重启服务:
sudo systemctl restart sshd
四、防御措施与最佳实践
1. 最小化安装原则
- 仅安装必要组件:
# CentOS 最小化安装示例 sudo yum groupremove "Graphical Administration Tools"
2. 权限管理(ACL 与 sudo)
- 禁止 root 直接登录 SSH:
# /etc/ssh/sshd_config PermitRootLogin no - 精细化 sudo 权限:
sudo visudo # 添加: user1 ALL=(ALL) NOPASSWD: /usr/sbin/service sshd restart
3. 安全增强工具
| 工具名称 | 作用 | 配置示例 |
|---|---|---|
| SELinux | 强制访问控制 | setenforce 1(开启强制模式) |
| AppArmor | 应用程序沙盒 | sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd |
| fail2ban | 暴力破解防御 | 监控 /var/log/sshd 并封禁恶意 IP |
4. 日志监控与审计
- 开启审计日志:
sudo systemctl enable --now auditd - 监控异常登录:
grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c
五、漏洞修复验证工具
1. 漏洞扫描工具
- Nessus:商业漏洞扫描器,支持 Linux 全版本。
- OpenVAS:开源替代方案:
sudo openvas-scan --target 192.168.1.100
2. 本地安全检查
- Linux 安全审计工具:
sudo tiger -a # 全面安全检查 sudo Lynis audit system # 生成安全报告
六、实战案例:修复 vsftpd 匿名访问漏洞
漏洞描述
vsftpd 允许匿名用户上传文件,可能导致目录遍历。
修复步骤
- 禁止匿名登录:
sudo vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO # 改为 NO - 限制本地用户目录:
chroot_local_user=YES allow_writeable_chroot=NO # 增强安全性 - 重启服务:
sudo systemctl restart vsftpd
七、注意事项
- 补丁兼容性:测试补丁与现有应用的兼容性(尤其生产环境)。
- 备份策略:修复前备份关键文件(如
/etc、/boot)。 - 第三方软件:单独更新 MySQL、Apache 等第三方服务。
总结:Linux 漏洞修复需结合补丁管理、权限控制、服务硬化和持续监控。建议每月进行一次安全审计,使用自动化工具降低人工成本。