系统安全加固方案文档说明1. Apache漏洞1.1 漏洞清单3/341.2 加固方案1.3 回退方案1.4 加固结果已加固2. openssh漏洞2.1 漏洞清单4/342.2 加固方案第一步准备安装包1.1、确定操作系统uname -alsb_release -a(suse)cat /etc/issue(redhat)1.2、将所需安装包上传到服务器zlib-1.2.8.tar.gz5/34openssl-1.0.1p.tar.gzopenssh-7.1p1.tar.gz相关下载：、、、//先把所有安装文件上传服务器，再卸载ssh，要不文件上传非常麻烦，在系统镜像中找到gcc安装包一并上传，大部分make失败都是gcc未安装或者安装不全造成。

第二步准备好其他远程方式2.1、此项可选择telnet或者vnc来进行远程操作安装telnet服务，telnet安装rpm包对应操作系统ISO文件里面提取，建议不要跨操作系统版本安装，减少未知问题。

vi /etc/xinetd.d/ekrb5-telnetdisable = yes改成no。

service xinetd restartvi /etc/securetty加入pts/0pts/1pts/2pts/36/34vi /etc/pam.d/login文件注释掉：#auth [user_unknown=ignore success=ok ignore=ignore#auth_err=die default=bad] pam_securetty.so//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。

第三步程序升级3.1、停止SSHD服务/sbin/service sshd stop (要确保sshd服务停止)3.2、备份启动脚本cp /etc/init.d/sshd /root/3.3、卸载系统里原有Opensshrpm –qa openssh //查询系统原安装的openssh包,全部卸载。

rpm -e openssh --nodepsrpm -e openssh-server --nodepsrpm -e openssh-clients --nodepsrpm -e openssh-askpass3.4、解压安装zlib包：7/34tar -zxvf zlib-1.2.8.tar.gz //首先安装zlib库，否则会报zlib.c错误无法进行cd zlib-1.2.8./configuremake&&make install//yum list | gerp zlib先查看是否已经安装，已安装跳过这一步。

无法编译安装，尝试安装如下yum install -y gcc g++ gcc-c++ makeyum -y install zlib-devel3.5、解压安装openssl包：tar -zxvf openssl-1.0.1p.tar.gzcd openssl-1.0.1p./config shared zlibmakemake testmake installmv /usr/bin/openssl /usr/bin/openssl.OFFmv /usr/include/openssl /usr/include/openssl.OFF8/34//该步骤可能提示无文件，忽略即可ln -s /usr/local/ssl/bin/openssl /usr/bin/opensslln -s /usr/local/ssl/include/openssl /usr/include/openssl//移走原先系统自带的openssl，将自己编译产生的新文件进行链接。

3.6、配置库文件搜索路径echo "/usr/local/ssl/lib" >> /etc/ld.so.conf/sbin/ldconfig -vopenssl version -aOpenSSL 1.0.1s 19 Mar 2015built on: Sat Mar 21 04:11:47 2015platform: linux-x86_64options: bn(64,64) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASMOPENSSLDIR: "/usr/local/ssl9/34//以上是openssl安装成功后输出版本信息3.7、解压安装openssh包:先将将/etc/ssh的文件夹备份:mv /etc/ssh /etc/ssh_baktar -zxvf openssh-7.1p1.tar.gzcd openssh-7.1p1./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-ssl-dir=/usr/local/ssl --with-md5-passwords --mandir=/usr/share/manmakemake installssh –VOpenSSH_7.1p2, OpenSSL 1.0.1s 1 Mar 20163.8、启动服务cp -p contrib/redhat/sshd.init /etc/init.d/sshdcp –p contrib/suse/rc.sshd /etc/init.d/sshd//其他版本操作系统具体查看contrib对应目录和readme。

10/34chmod +x /etc/init.d/sshdchkconfig --add sshdcp sshd_config /etc/ssh/sshd_configcp sshd /usr/sbin/sshd10、验证是否成功service sshd startssh -VOpenSSH_7.1p1, OpenSSL 1.0.1m 19 Mar 2015此时可以尝试远程ssh进去服务器，如果能连，并查看验证日志信息等确认无误。

查看ssh服务状态：//以下配置redhat略有不同,具体情况具体解决。

/etc/init.d/sshd statusChecking for service sshd unused 状态不可用，ssh连接正常。

pkill sshd杀掉sshd服务11/34service sshd start启动sshd服务service sshd statusChecking for service sshd running 卸载telnet-serverrpm –e telnet-server客户端连接telnet失败。

vi /etc/ssh/sshd_configPermitRootLogin yes2.3 回退方案重新安装原版本，导入原来的配置2.4 加固结果除192.168.1.41; 192.168.1.42均已加固12/343. openssl 漏洞3.1 漏洞清单13/343.2 加固方案第一步准备安装包1.1、确定操作系统uname -alsb_release -a(suse)cat /etc/issue(redhat)1.2、将所需安装包上传到服务器zlib-1.2.8.tar.gzopenssl-1.0.1p.tar.gzopenssh-7.1p1.tar.gz相关下载：、、、//先把所有安装文件上传服务器，再卸载ssh，要不文件上传非常麻烦，在系统镜像中找到gcc安装包一并上传，大部分make失败都是gcc未安装或者安装不全造成。

14/34第二步准备好其他远程方式2.1、此项可选择telnet或者vnc来进行远程操作安装telnet服务，telnet安装rpm包对应操作系统ISO文件里面提取，建议不要跨操作系统版本安装，减少未知问题。

vi /etc/xinetd.d/ekrb5-telnetdisable = yes改成no。

service xinetd restartvi /etc/securetty加入pts/0pts/1pts/2pts/3vi /etc/pam.d/login文件注释掉：#auth [user_unknown=ignore success=ok ignore=ignore#auth_err=die default=bad] pam_securetty.so//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。

15/34第三步程序升级3.1、停止SSHD服务/sbin/service sshd stop (要确保sshd服务停止)3.2、备份启动脚本cp /etc/init.d/sshd /root/3.3、卸载系统里原有Opensshrpm –qa openssh //查询系统原安装的openssh包,全部卸载。

rpm -e openssh --nodepsrpm -e openssh-server --nodepsrpm -e openssh-clients --nodepsrpm -e openssh-askpass3.4、解压安装zlib包：tar -zxvf zlib-1.2.8.tar.gz //首先安装zlib库，否则会报zlib.c错误无法进行cd zlib-1.2.8./configuremake&&make install//yum list | gerp zlib先查看是否已经安装，已安装跳过这一步。

16/34无法编译安装，尝试安装如下yum install -y gcc g++ gcc-c++ makeyum -y install zlib-devel3.5、解压安装openssl包：tar -zxvf openssl-1.0.1p.tar.gzcd openssl-1.0.1p./config shared zlibmakemake testmake installmv /usr/bin/openssl /usr/bin/openssl.OFFmv /usr/include/openssl /usr/include/openssl.OFF//该步骤可能提示无文件，忽略即可ln -s /usr/local/ssl/bin/openssl /usr/bin/opensslln -s /usr/local/ssl/include/openssl /usr/include/openssl//移走原先系统自带的openssl，将自己编译产生的新文件进行链接。