PHP 转运维遇到的难事

2020-01-06 19:19:36 +08:00
 NerverLibis

我的本地环境:openssl1.1.1d + nginx 1.17.5,后续升级到 libressl。 已卸载旧版本 openssl httpd 等无关软件。 我本地早就设了 2048 的 key,并且禁用一切 DH 算法。

上个月机房漏洞扫描,检测出两个漏洞,要求整改,并对主机进行了下线处理。
1.服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) [原理扫描] 
扫描工具绿盟,建议解决方式为 nginx 升级到 0.8.x+

2.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 [原理扫描] 
绿盟建议为设一个 2048 位的 key。

即便 nginx 关闭 443 端口,机房仍然说主机 443 已开启,能扫到 https 漏洞。

百思不得其解,机房坚称自己无问题,要我方签署明知有漏洞责任书,才给开通主机。

求大佬指点下如何解决。

当 nginx 关闭 443 端口时,机房有时候说我 443 是关的,有时候说我是开的,没谱……
当使用 nginx 端口 443 作为普通接口时,仍然说是 https 漏洞。
7534 次点击
所在节点    Linux
43 条回复
NerverLibis
2020-01-07 10:38:58 +08:00
@lvzhiqiang 是我的 IP,但是没开的端口报错
PolarBears
2020-01-07 10:50:47 +08:00
整改的话就正常整改吧,然后添加防火墙规则只允许自己单位的 IP 段访问,如果必须通过政务云的堡垒机来访问控制主机的话,也可以想想办法把他搞通到本地可以不通过堡垒机连接.
TanLeDeDaNong
2020-01-07 16:11:26 +08:00
和老哥不一样的是,我是离职大休 6 个月出来发现大清亡了,果断三线运维恰饭。
lvzhiqiang
2020-01-07 16:23:29 +08:00
@NerverLibis 最好详细看看漏洞报告,一般报告会有修复建议的。按照修复建议操作,基本上就没问题了。
NerverLibis
2020-01-07 16:33:02 +08:00
@lvzhiqiang 绿盟给的解决方法也算是简洁粗暴,且无用。在本地 nginx 版本为 1.17.5 的情况下,给我提示 10 年前的版本……
Nginx 解决办法:
0.7.x 升级到 nginx 0.7.64
0.8.x 升级到 0.8.23 以及更高版本。
http://nginx.org/en/download.html
Showfom
2020-01-07 17:21:47 +08:00
@NerverLibis 哦 那简单,直接把机房的 ip 用 iptables 屏蔽掉 机房 ip 会找吧?
NerverLibis
2020-01-07 19:12:55 +08:00
@Showfom 不开防火墙 机房不给扫描…
kawowa
2020-01-07 19:31:59 +08:00
同样遇到过这类事情,是在最后验收的时候,甲方会请等保评测的人过来扫漏洞,然后说要 tomcat 版本在多少多少以上才能避免漏洞。
但问题是我明明是 Apache 官网上下载的最新版...
解决方法同上,隐藏版本号即可。
Showfom
2020-01-07 21:15:06 +08:00
@NerverLibis 那你编译个 nginx 把 nginx 改成其他的名称 比如什么 saonima 版本号 233
NerverLibis
2020-01-08 02:04:48 +08:00
@Showfom nginx 是编译的最新版本,版本号 off 过了,通信隐藏不掉 web 服务器的,协议可以看到 http 头 服务器类型,明天我准备去机房物理停机,再查再看
NerverLibis
2020-01-08 02:05:57 +08:00
@kawowa 专家评审 等保测评 等保备案都过了。
msg7086
2020-01-08 02:32:14 +08:00
@NerverLibis #30 编译的时候没改源代码吗?怎么可能隐藏不掉 Web 服务器。

https://g.x86.men/root/nginx-pika/commit/274a5d7e0c196008d2fed248c6b6aa93b3248771
Showfom
2020-01-08 08:29:26 +08:00
@NerverLibis 可以隐藏的 自己改源码 改成楼上的 IIS
2379920898
2020-01-08 08:43:59 +08:00
可以换个城市啊,
lvzhiqiang
2020-01-08 09:13:54 +08:00
@NerverLibis 那没办法,他们的漏洞策略陈旧。很好奇,他们没更新策略的么?
NerverLibis
2020-01-08 09:18:11 +08:00
@lvzhiqiang 机房分包,防火墙 路由器 sas 机房运维由四家公司分别负责
xenme
2020-01-08 09:21:41 +08:00
上有政策下有对策

扫描大多就是根据特征匹配,发现你用了啥,某个版本就直接报,所以针对性改改伪装下就好了,自己确定补丁和漏洞打了就行
lc7029
2020-01-08 09:43:11 +08:00
一般来说漏扫是根据软件版本号扫描,就算修复了漏洞,软件版本不变一样会报漏洞。
扫描器 IP 不能墙掉,我们曾在交换机上做了 ACL,deny 掉漏扫的流量,被找过来了。。。
另一种可能就是楼上说的,机房给错 IP 了。
另外,建议 LZ 找专业运维咨询,开发和运维的思路差别很大。
NerverLibis
2020-01-08 17:49:46 +08:00
@lc7029 @xenme @vzhiqiang @Showfom @msg7086 @kawowa @lvzhiqiang @MrUser @Songxwn @Greenm @hefish
问题已解决,今天把服务器关了,仍显示端口开放。
于是机房运维给我解释说 IP 地址冲突,给我换宽带,具体原因他想办法抓包查看云云……
msg7086
2020-01-08 17:52:11 +08:00
@NerverLibis 这机房也……太水了吧,交换机上不做保护吗……偷 IP 还行……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/635575

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX