Omicscloud漏洞检查
Ubuntu 22.04 安全加固可扩展 Check List
| 状态 | 漏洞名称 | 修复步骤(简要命令) | 自测办法(验证命令) |
|---|---|---|---|
| [ ] | 1. Nginx 软件版本漏洞 (对应图里 CVE 漏洞) | 1. 添加官方源
2. |
nginx -v✅ 预期:显示 1.26.x 或 1.30.x 或更高
|
| [ ] | 2. HTTP 横幅版本泄露 (对应图里“HTTP横幅”) | 编辑 /etc/nginx/nginx.conf 在 http { 块内添加:
|
curl -I http://localhost✅ 预期:Server 头仅显示 nginx,不带版本号
|
| [ ] | 3. SSL 弱加密套件与协议 (对应图里“密码套件/协议”) | 在 server { 的 SSL 配置部分添加:
|
nmap --script ssl-enum-ciphers -p 443 localhost✅ 预期:只显示 TLSv1.2 和 TLSv1.3,没有 TLSv1.0/1.1,没有弱加密套件
|
| [ ] | 4. 默认 Nginx 首页 (对应图里“默认 nginx 设置”) | 删除默认测试页:
|
curl http://localhost✅ 预期:不再显示 Nginx 默认的“Welcome to nginx!”页面
|
| [ ] | 5. TCP 时间戳泄露 (对应图里“TCP时间戳”) | 写入并生效内核参数:
|
sysctl net.ipv4.tcp_timestamps✅ 预期:输出 net.ipv4.tcp_timestamps = 0
|
| [ ] | 6. ICMP/跟踪路由风险 (对应图里“ICMP/跟踪路由”) | 写入并生效内核参数:
|
sysctl net.ipv4.conf.all.accept_redirects✅ 预期:输出 net.ipv4.conf.all.accept_redirects = 0
|
| [ ] | 7. LDAP 信息泄露 (对应图里“LDAP搜索请求”) | 阻止 Docker 穿透暴露端口:
|
本机测试:nc -zv 127.0.0.1 389(应通)
跨局域网测试:另一台机器 |
| [ ] | 8. MySQL 3306 局域网访问 (修复业务连通性) | UFW 放行局域网(记得根据实际情况调整网段)网段:
|
跨局域网测试:另一台机器 nc -zv 10.7.41.245 3306
✅ 预期:能连通 |
| [ ] | 9. SSH 22端口防爆破 (建议替代直接禁用) | 将允许所有人改为限流:
|
sudo ufw status✅ 预期:22/tcp 状态为 LIMIT
|
| [ ] | 10. SSL 证书过期 (图中遗留项) | 注:因你无域名,此项无法通过申请证书修复,属于合规性遗留项。暂时忽略,后续有了域名再使用 certbot 申请。
|
openssl s_client -connect localhost:443 -servername localhost 2>/dev/null | openssl x509 -noout -dates✅ 预期:证书日期已经过期(目前状态正常)
|