一、针对操作系统漏洞的反馈方法
漏洞扫描指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。在进行漏洞扫描后,需先确定哪些是业务软件相关漏洞,哪些是操作系统相关漏洞,将漏洞信息反馈至麒麟软件厂家时,需反馈以下信息:
- 项目名称;
- 系统版本(通过cat /etc/.kyinfo查看);
- 漏洞软件包版本(如openssh,反馈dpkg –l |grep openssh或者rpm –qa |grep openssh结果);
- 漏洞修复范围及cve号(也可以直接反馈漏洞报告);
二、针对操作系统漏洞的修复方法
- 如果业务软件或者操作系统在使用的过程中,没有使用到相关软件服务,建议直接关闭服务,如samba服务;
| sudo systemctl disable smbd |
- 对于真实存在的漏洞,麒麟软件会根据实际的漏洞危害优先级,进行客户应急响应处理;并提供相关报告和处理方案。
- 由于目前常见的漏洞评估系统对麒麟操作系统进行漏洞评估的方法,主要是采用获取判断麒麟操作系统各组件软件包的版本进行漏洞库匹配评估。因为漏洞的复杂性,故大部分漏洞评估系统都不会验证,只通过软件包版本号匹配漏洞并报告,故此方法可以把系统所有可能出现的漏洞都报告出来。但麒麟操作系统部分存在漏洞的软件包,为了保证当前版本系统的稳定性,没有采用升级软件包的方案,采用在现有版本的代码上合入漏洞修复补丁。故漏扫工具会存在误报的情况。对于存在误报的漏洞,有以下几种解决办法:
- 【推荐】查看系统软件包的changlog,确定此漏洞是否已修复过;
| 例如openssh相关漏洞,去以下文件下搜索漏洞cve编号,如果可以查到,代表漏洞已修复,漏扫软件是误报。 vim /usr/share/doc/openssh-client/changelog.Debian.gz |
对于已经修复的漏洞,麒麟软件安全部门可以出具已修复证明;
- 【推荐】由于操作系统的确是修复过相关漏洞,可以让安全厂家忽略此漏洞;
- 【不推荐】手动修改软件包版本,使安全软件扫不出漏洞,方法如下:
cp /usr/sbin/sshd /usr/sbin/sshd-bak
/etc/init.d/ssh restart |
