最近linux系统安全加固,一些漏洞修复经验和大家分享一下!

RPC Statd 服务  RPC类    危险级别:::高  
发现主机 ##########################################################
漏洞编号 
漏洞分类 RPC类 
危险级别  高  
影响平台 AIX IRIX DG/UX HPUX: 9.x, HPUX: 10.x NEC EWS-UX/V,NEC UP-UX/V,NEC UX/4800, NeXT STEP NCR  linux

详细描述:
  远程rpc.lockd 文件可能提供假的信息给rpc.statd 文件,使文件可以被移动或新建。RPC statd 与RPC lockd 一起工作维护状态信息,来提供跨NKS文件锁定的崩溃及恢

复功能。因为statd不验证从远程lockd 收到的信息,所以***者可以发送RPC去建立或取消系统上任何文件。

修补建议 建议您采取以下措施进行修补以降低威胁: 请用户联系供应商或他们的网站,索取补丁或参考供应商的指示。选定以下的操作系统:

1.Hewlett-Packard: 安装补丁前,请阅读 Security Advisory HPSBUX9607-032 “Security Vulnerability in rpc.pcnfsd & rpc.statd.” 输入patch Ids 作为搜索

字串及点击 Search Technical Knowledge Base 链接,就可以看到这篇文章。The HP Patch Database 不需要付费口令。网址:http://us-

support.external.hp.com/wpsl/bin/doc.pl/.
登录后,到 Individual Patches (Patch Database) 的库,搜索符合你漏洞版本的HP-UX 扑丁。
2.IBM 的补丁网址: http://aix.boulder.ibm.com/aix.us/aixfixes.
输入APAR 号,就可以得到有关资料及补丁。
3.Sony: NEWS-OS Patch Ids: 0124, 6063, 6176, 及 6207.
4.NEWS-OS 补丁的网址:ftp://ftp1.sony.co.jp/pub/patch/news-os/un-official.
5.DEC (Digital Equipment Corporation): Ultrix ECO ID#: ×××T03901;OSF/1 ECO ID#: ×××T038301 网址 :

http://www.service.digital.com/html/patch_service.html

6.SunOS 补丁的网址:http://sunsolve.sun.com/sunsolve/pubpatches/patches.html.
7.Silicon Graphics:之前的版本升级到IRIX 5.3;之后的版本使用SGI Security Advisory描述的修复方法。安装补丁前,请阅读SGI Security Advisory 19971201-01-

P: “Buffer Overrun Vulnerability in statd(1M) Program” 网址:ftp://sgigate.sgi.com/security/19971201-01-P1391.SGI
补丁的网址:http://www.sgi.com/Support/security/security.html.
以前的版本一定要升级或采用“安全建议”给出的暂时修复方法,专为IRIX 5.3 平台的补丁在网址:ftp://sgigate.sgi.com/patches/5.3/patch1391.tar

8.linux平台: 联系系统厂商获取最新版本。

#########################################################################

我的修复之旅!

如果你的系统没有使用NFS服务就关掉rpc.statd服务,下面说一下,RPC的作用和如何关闭!

CentOS使用核心级的支持和守护进程的组合来提供NFS文件共享.NFS依靠远程过程调用(RPC)在客户端和服务器端路由请求。而在Linux下RPC服务由portmap服务控制。为了能够正常

使用NFS,还需要一些相关的服务来协同工作:

nfs:启动相应RPC服务进程来服务对于NFS文件系统的请求。
nfslock:一个可选的服务,用于启动相应的RPC进程,允许NFS客户端在服务器上对文件加锁。
portmap:Linux的RPC服务,它响应RPC服务的请求和与请求的RPC服务建立连接。

下面的RPC后台进程是为NFS提供服务的
rpc.mountd:这个进程接受来自NFS客户端的加载请求和验证请求的文件系统正在被输出。这个进程由NFS服务自动启动,不需要用户的配置。
rpc.nfsd:这个进程是NFS服务器.它和Linux核心一起工作来满足NFS客户端的动态需求,例如提供为每个NFS客户端的每次请求服务器线程。这个进程对应于nfs服务。
rpc.lockd:一个可选的进程,它允许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务。
rpc.statd:这个进程实现了网络状态监控(NSM)RPC协议,通知NFS客户端什么时候一个NFS服务器非正常重启动。这个进程被nfslock服务自动启动。不需要用户的配置。
rpc.rquotad:这个进程对于远程用户提供用户配额信息。这个进程被nfs服务自动启动,不需要用户的配置。
所以说,要想关掉CentOS的rpc.statd服务,我们只需要执行下面的命令就能搞定

rpcgssd, rpcidmapd, rpcsvcgssd
用于 NFS v4。除非你需要或使用 NFS v4,否则关闭它。

具体操作如下:

1停服务
service nfslock stop
service portmap stop
/etc/init.d/rpcgssd stop
/etc/init.d/rpcidmapd stop
/etc/init.d/rpcsvcgssd stop

2禁止开机启动
chkconfig nfslock off
chkconfig portmap off
chkconfig  rpcgssd off
chkconfig  rpcidmapd off
chkconfig  rpcsvcgssd off

3查看状态
/etc/init.d/nfslock status
/etc/init.d/portmap status
/etc/init.d/rpcgssd status
/etc/init.d/rpcidmapd status
/etc/init.d/rpcsvcgssd status