Linux系统如何进行安全更新


=Start=

如何应对「脏牛漏洞」?
# Debian/Ubuntu
$ uname -rv
当你的内核版本信息小于:
	4.8.0-26.28 for Ubuntu 16.10
	4.4.0-45.66 for Ubuntu 16.04 LTS
	3.13.0-100.147 for Ubuntu 14.04 LTS
	3.2.0-113.155 for Ubuntu 12.04 LTS
	3.16.36-1+deb8u2 for Debian 8
	3.2.82-1 for Debian 7
	4.7.8-1 for Debian unstable
则,你的Debian/Ubuntu系统是会受到影响的,所以需要及时更新内核版本。

# CentOS
$ wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh
$ bash rh-cve-2016-5195_1.sh

&

# Ubuntu
$ sudo apt-get update && sudo apt-get dist-upgrade
$ sudo reboot

# CentOS 7
$ sudo yum update
$ sudo reboot

# CentOS 5/6
等待官方出补丁,然后及时进行更新

&

# 安装yum的安全插件
yum -y install yum-plugin-security

# 显示所有和安全相关的更新
yum --security check-update

# list all bugs fixed
yum updateinfo list bugzillas

# summary of advisories
yum updateinfo summary

# 升级所有和安全相关的package至最新版
yum --security update

# 升级所有和安全相关的package至满足要求的最小版本
yum --security update-minimal

# 查看帮助
man 8 yum-security

对于小内存机器,可能会出现内存不足的情况。这时就需要用swap交换分区「扩展」内存容量,可以参考之前的文章:在小内存机器上安装lxml

=END=

, ,

《“Linux系统如何进行安全更新”》 有 11 条评论

  1. 十大企业级Linux服务器安全防护要点
    http://www.yunweipai.com/archives/12085.html
    `
    1、强化:密码管理
    2、限定:网络服务管理
    3、严格审计:系统登录用户管理
    4、设定:用户账号安全等级管理
    5、谨慎使用:“r系列”远程程序管理
    6、限制:root用户权限管理
    7、追踪黑客踪迹:日志管理
    8、横向扩展:综合防御管理
    9、评测:漏洞追踪及管理
    10、保持更新:补丁管理
    `

  2. 主机安全 —— 青藤云 & 云锁
    https://qingteng.cn/views/detail.html#page=monitor
    http://help.yunsuo.com.cn/
    `
    业务资产管理 -> 风险识别 -> 安全防御 -> 威胁感知 -> 攻击事件回溯

    「CPU、内存、磁盘IO、网络IO」监控

    服务器安全(防暴力破解、防端口扫描、常用配置文件检测)
    Web安全(SQL注入、敏感文件下载、文件名解析、文件上传、webshell检测)
    `
    使用特征锚点、行为模式、关系模型等独创方法,从进程、主机、网络三个维度全方位监测黑客行为,第一时间发现黑客有效入侵并做出响应
    `
    特征锚点
    黑客入侵的手段多种多样,但其目的是归一的:窃取有价值的核心数据资产。要接触到核心资产,有些路径是黑客的必经之路。在这些路径上打上特征锚点,对系统后门(rootkit、bootkit等)、Webshell、文件完整性(文件内容或权限变更)和系统权限变更等进行监测,黑客一旦触碰锚点就会引发报警。

    行为分析
    黑客在入侵渗透系统过程,有些行为是非常典型的。青藤根据多年专业安全经验,建立了黑客入侵的行为模型,包括进程的子进程产生、反弹shell、异常登录、本地提权、shell审计、系统敏感文件的读写、端口监听等,然后通过模式匹配的方法来做持续监控。

    关系模型
    在一个相对稳定的业务系统中,主机之间的进程访问关系是相对固定的。黑客在一步步窃取数据过程中,往往会对一些主机进行异常的访问。通过机器学习来建立不同业务角色间的访问关系模型,并持续进行监控,一旦发现有异常的访问行为就会报警出来。
    `

  3. 近年来APT组织使用的10大(类)安全漏洞
    https://www.anquanke.com/post/id/104180
    `
    概述
    主要观点
    APT组织十大(类)漏洞
    1. 防火墙设备漏洞
    2. SMB通信协议漏洞
    3. Office OLE2Link逻辑漏洞
    4. Office公式编辑器漏洞
    5. OOXML类型混淆漏洞
    6. EPS(Encapsulated Post Script)脚本解析漏洞
    7. Windows提权漏洞
    8. Flash漏洞
    9. iOS三叉戟漏洞
    10.Android浏览器remote2local漏洞利用
    总结
    参考
    `

  4. 【漏洞预警】Ubuntu Linux权限升级漏洞PoC(CVE-2019-7304)
    http://www.4hou.com/vulnerable/16181.html
    `
    在2019年1月,国外安全人员在Ubuntu Linux的默认安装中发现了一个权限提升漏洞。这是由于snapd API中的一个错误,这是一个默认服务。任何本地用户都可以利用此漏洞获取对系统的直接root访问权限,CVE编号CVE-2019-7304。

    为了简化Linux系统上的打包应用程序,各种新的竞争标准正在出现。Canonical,Ubuntu Linux的制造商,正在推广他们的“Snap”软件包。这是一种将所有应用程序依赖项转换为单个二进制文件的方法 – 类似于Windows应用程序。

    Snap生态系统包括一个“应用程序商店”,开发人员可以在其中贡献和维护随时可用的软件包。

    管理本地安装的Snap以及与此在线商店的通信部分由名为“snapd”的系统服务处理。此服务自动安装在Ubuntu中,并在“root”用户的上下文中运行。Snapd正在发展成为Ubuntu操作系统的重要组成部分,特别是在用于云和物联网的“Snappy Ubuntu Core”等更精简的leaner spins中。
    `
    https://initblog.com/2019/dirty-sock/
    https://github.com/initstring/dirty_sock

  5. CVE-2019-7304:Linux包管理器snap本地提权漏洞预警
    https://cert.360.cn/warning/detail?id=d4c4efcb8e8effbed9827141a5be9daf
    `
    利用该漏洞可以让普通用户伪装成root用户向snapd提供的REST API发送请求。攻击者利用精心构造的安装脚本或Ubuntu SSO可以让并不具有sudo权限的普通用户获得执行sudo的权限,从而获得提升到root用户权限的能力,达到本地 提权的效果。
    `
    https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html

  6. 从虚拟机逃逸看kvm-qemu虚拟化安全防御
    https://mp.weixin.qq.com/s/m0FyOmxJkhMeF0eiHYQX1Q
    `
    1、威胁建模/风险分析
    2、一个真实的逃逸实例
    3、逃逸监控
    4、逃逸防御
    5、应急响应
    6、谷歌怎么做的

    ==
    1、我们的人很牛,挖了很多kvm的漏洞。
    2、我们对KVM进行了裁剪,在考虑性能的情况下,把大部分在内核态实现的代码移植到了用户态。
    3、我们觉得qemu很臃肿不好,安全测试不足,自己写了一个取代它。
    4、没看懂放在这是啥意思。
    5、我们的配置管理,可以知道哪个版本的kvm在运行,如何配置,如何部署的,同时对系统启动链做了完整性检查,包括用户的镜像。
    6、我们可以快速对漏洞进行响应。
    7、我们严格控制发布,确保只有一小撮人可以接触到kvm的构建和发布系统。
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注