当前位置: 首页 > news >正文

Ubuntu Linux 云服务器常见安全漏洞修复方法汇总 Apache/OpenSSH/DNS

news 2025/9/17 21:01:26

 

安全漏洞名称/CVE修复方案
1. Apache HTTP Server 缓冲区错误漏洞(CVE-2023-31122)
2. Apache HTTP Server 资源管理错误漏洞(CVE-2023-43622)
3. Apache httpd 资源管理错误漏洞(CVE-2024-27316)
4. Apache HTTP Server 代码问题漏洞(CVE-2024-38477)
5. Apache HTTP Server 安全漏洞(CVE-2024-38476)
6. Apache HTTP Server 安全漏洞(CVE-2024-38475)
7. Apache HTTP Server 安全漏洞(CVE-2024-38474)
8. Apache HTTP Server 安全漏洞(CVE-2024-47252)
9. Apache HTTP Server 资源管理错误漏洞(CVE-2023-45802)
10. Apache HTTP Server 安全漏洞(CVE-2024-24795)
11. Apache HTTP Server 输入验证错误漏洞(CVE-2024-39573)
12. Apache HTTP Server 安全漏洞(CVE-2024-38473)
13. Apache HTTP Server 安全漏洞(CVE-2024-38472)
14. Apache HTTP Server 代码问题漏洞(CVE-2024-36387)
15. Apache HTTP Server 安全漏洞(CVE-2025-53020)
16. Apache HTTP Server 输入验证错误漏洞(CVE-2024-42516)
17. Apache HTTP Server 访问控制错误漏洞(CVE-2025-23048)
18. Apache HTTP Server 安全漏洞(CVE-2025-49630)
19. Apache HTTP Server 授权问题漏洞(CVE-2025-49812)		 升级 Apache 至 2.4.64 以上版本
1. OpenSSH 安全漏洞(CVE-2023-28531)
2. OpenSSH 安全漏洞(CVE-2023-38408)
3. OpenSSH 竞争条件问题漏洞(CVE-2024-6387)
4. OpenSSH 安全漏洞(CVE-2023-51384)
5. OpenSSH 安全漏洞(CVE-2023-51385)
6. OpenSSH 安全漏洞(CVE-2023-48795)
7. OpenSSH 安全漏洞(CVE-2025-26465)		 升级 OpenSSH 至 9.9 以上版本
1. Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞(CVE-2002-20001) 禁用 SSH DHE 加密
1. ISC BIND伪来源IP地址DNS远程攻击漏洞(CVE-2006-0987) 禁用 DNS 递归查询

 

1、升级 Apache 至 2.4.64 以上版本

# 备份配置
sudo cp -r /etc/apache2 /etc/apache2.backup# 更新包列表并升级
sudo apt update
sudo apt upgrade apache2# 一路 ok 下去,不确定的问 AI# 检查升级后版本
apache2 -v

 

2、升级 OpenSSH 至 9.9 以上版本

⚠️ 提醒:升级 ssh 服务可能意外导致无法再次连接云服务器,建议先打开 23 端口 telnet 备用通道以防万一

2.1、安装配置 telnet 服务(可选)

# 更新软件包列表
sudo apt update# 安装telnet服务器
sudo apt install -y telnetd xinetd# 创建xinetd配置文件
sudo tee /etc/xinetd.d/telnet > /dev/null <<'EOF'
service telnet
{disable         = noflags           = REUSEsocket_type     = streamwait            = nouser            = rootserver          = /usr/sbin/in.telnetdlog_on_failure  += USERIDbind            = 0.0.0.0port            = 23
}
EOF# 启动xinetd服务
sudo systemctl enable xinetd
sudo systemctl start xinetd# 验证telnet服务
sudo systemctl status xinetd
sudo netstat -tlnp | grep :23

提示:

1. 阿里云、腾讯云等需要去网络安全组中新增一条规则,确保 TCP 23 端口允许外部访问。

2. telnet 登录需要用户名和密码,如果你当前的 root (同等权限)账户没有密码或忘记密码,可以使用 passwd 命令重置密码

sudo passwd your_username

3. 服务设置成功后,请从本地电脑 telnet 到目标 IP(替换下面的 1.2.3.4),按提示输入用户名和密码(密码上屏不显示)

telnet 1.2.3.4 23

 

2.2、升级 OpenSSH

# 创建工作目录
mkdir -p /tmp/openssh_upgrade
cd /tmp/openssh_upgrade# 下载和解压
wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p1.tar.gz
tar -xzf openssh-9.9p1.tar.gz
cd openssh-9.9p1# 配置
./configure \--prefix=/usr \--sysconfdir=/etc/ssh \--libexecdir=/usr/libexec \--datadir=/usr/share \--mandir=/usr/share/man \--with-pid-dir=/run \--with-systemd \--with-pam \--with-ssl-engine \--with-selinux \--with-kerberos5 \--with-tcp-wrappers \--with-audit=linux \--with-ldns# 编译
make -j$(nproc)# 设置 dpkg-divert 需要将编译安装的文件标记为不被包管理器管理
sudo dpkg-divert --add --rename --divert /usr/sbin/sshd.orig /usr/sbin/sshd 2>/dev/null || true
sudo dpkg-divert --add --rename --divert /usr/bin/ssh.orig /usr/bin/ssh 2>/dev/null || true# 停止SSH服务
sudo systemctl stop ssh# 安装新版本(只执行一次)
sudo make install# 检查配置和启动
sudo /usr/sbin/sshd -t
sudo systemctl start ssh# 验证
/usr/sbin/sshd -V
sudo systemctl status ssh --no-pager

 

2.3、关闭 telnet 服务(可选)

# 停止并禁用xinetd服务
sudo systemctl stop xinetd
sudo systemctl disable xinetd# 检查23端口
sudo netstat -tlnp | grep :23

 

3、禁用 SSH DHE 加密

sudo tee /etc/ssh/sshd_config.d/99-cve-2002-20001-fix.conf > /dev/null <<'EOF'
# 修复CVE-2002-20001: 禁用DHE密钥交换
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha2-512
HostKeyAlgorithms ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256
PubkeyAcceptedAlgorithms ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256
EOF# 验证配置是否正确
sudo /usr/sbin/sshd -t# 重启 ssh 服务
sudo systemctl restart ssh# 验证 DHE 算法是否已移除
sudo sshd -T | grep kexalgorithms

 

4、禁用 DNS 递归查询

sudo cp /etc/systemd/resolved.conf /etc/systemd/resolved.conf.backupsudo tee /etc/systemd/resolved.conf > /dev/null <<EOF
[Resolve]
DNS=8.8.8.8 1.1.1.1
Domains=~.
DNSSEC=no
DNSOverTLS=no
MulticastDNS=no
LLMNR=no
Cache=yes
DNSStubListener=no
EOFsudo systemctl restart systemd-resolved
sudo rm /etc/resolv.conf
sudo ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf# 确认53端口不再监听
sudo ss -ulnp | grep :53

# 确认DNS解析正常
nslookup google.com

 

http://www.wxhsa.cn/company.asp?id=6943

相关文章:

  • AI智能体开发实战:从提示工程转向上下文工程的完整指南
  • 解码C语言九条语句
  • 多个 root 用户记录,而且有些记录的密码是空的,导致认证混乱。
  • 解题报告-P11670 [USACO25JAN] Cow Checkups S
  • word vba 对 带编号格式的PO单 段落下添加对应的图片
  • 解题报告-P11671 [USACO25JAN] Farmer Johns Favorite Operation S
  • 解码C语言运算符
  • 多进程
  • 93. 递归实现组合型枚举
  • Sort方法学习(伪代码记录)
  • 深入解析:【每日一问】运算放大器与比较器有什么区别?
  • 9.17支配对问题专题总结
  • 记录知识
  • AT_agc058_b [AGC058B] Adjacent Chmax
  • Jenkins CVE-2018-1000600漏洞利用与SSRF攻击分析
  • NOIP 集训日记(学术)
  • linux中mysql如何远程连接
  • 详细介绍:Python:OpenCV 教程——从传统视觉到深度学习:YOLOv8 与 OpenCV DNN 模块协同实现工业缺陷检测
  • 深入解析:PYcharm——pyqt音乐播放器
  • Day02
  • 专题:Python实现贝叶斯线性回归与MCMC采样数据可视化分析2实例|附代码数据
  • 威联通NAS如何导入本地docker镜像
  • 【学习笔记】拉格朗日插值
  • 一种将离散化状态方程映射为并行多处理器计算机的方法
  • 基本数据类型题目
  • 一种基于动作指令交互的动态活体检测技术,提升人脸识别安全性
  • [系统] Windows 已有office版本和visio不兼容的解决方案
  • CF 2127F Hamed and AghaBalaSar
  • AT_agc055_b [AGC055B] ABC Supremacy
  • “Sequential Thinking MCP Server 和codex等AI工具本身任务拆解功能对比