I.问题现象
我司通讯管理机产品,现场要连接外网。安全测试中发现以下问题:
II.问题分析
我司通讯管理机产品开通了telnet 以及SSH服务,主要用来远程调试/问题分析。
1、“Unencrypted Telnet Server ”
Telnet使用的是明文传输,本身是不加密的,所以没办法关闭该漏洞。如果要避免这个问题,建议不使用telnet,改用ssh;
Telnet 服务关闭命令如下:
#wr chmod 666 /etc/init.d/S75telnetd 重启后telnet服务不会自动启动。
2、“SSH Weak Algorithms Supported”
该项SSH算法安全性不够,可增加安全性:操作步骤如下:
A:SSH登录管理机
#Ssh root@IP 密码root 登录管理机。
B:提升安全性:
#Vi /etc/sshd _config 输入i进入修改模式。
光标移动到protocal 2 后面增加Ciphers aes128-ctr,aes192-ctr,aes256-ctr
保存退出,按esc 输入 :wq! 按回车保存成功。
查看修改是否成功:
#cat /etc/sshd _config
输入#reboot 重启管理机。 观察验证漏洞是否关闭。
Telnet 关闭后验证配置软件,查找管理机,读取,下载功能,IP修改都正常。
经过现场测试验证, 该漏洞已经关闭
III.解决方法
1、关闭telnet服务。
2、增加SSH算法安全性,如aes128-ctr等。
IV.总结和建议
有代码优化时一并修改,以关闭外网漏洞。