问

这些扫描出来需要怎么搞呢

1天前提问

0关注
0收藏，63浏览

谢谢你感谢你因为有你

谢谢你感谢你因为有你一段

粉丝：0人关注：2人

问题描述：

防火墙是F1000-AK1242

组网及组网描述：

4 个回答

按时间按赞数

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：132人关注：11人

V7版本不涉及啊

但是他们漏扫出来是防火墙的漏洞

谢谢你感谢你因为有你发表时间：1天前 更多>>

这个哪里查呢

谢谢你感谢你因为有你发表时间：1天前

但是他们漏扫出来是防火墙的漏洞

谢谢你感谢你因为有你发表时间：1天前

zhiliao_Gixe

zhiliao_Gixe 六段

粉丝：11人关注：9人

zhiliao_GeOM0O

zhiliao_GeOM0O 九段

粉丝：18人关注：2人

Ubuntu OpenSSH CVE-2020-15778 / CVE-2021-41617 漏洞整改方案（F1000-AK1242 防火墙内 Ubuntu 主机）
一、漏洞说明
当前主机 OpenSSH 版本8.2p1 Ubuntu-4ubuntu0.13，存在 2 个高危漏洞：
CVE-2020-15778：scp 命令参数过滤缺陷，远程注入系统命令；
CVE-2021-41617：权限提升漏洞，本地 / 远程提权破坏主机权限控制；
厂商官方修复基线：升级 OpenSSH 至 10.3 及以上，Ubuntu 优先使用系统源补丁升级，不直接手动编译高版本。
二、分两步整改：①Ubuntu 主机系统修复（根治漏洞）②F1000 防火墙边界加固（临时防护）
第一部分：Ubuntu 系统漏洞修复（核心操作，彻底消除漏洞）
步骤 1：更新软件源并升级 openssh 全套组件
bash
运行
# 刷新软件源缓存
apt update
# 升级openssh-server、openssh-client全套补丁包
apt install openssh-server openssh-client -y
# 升级全系统补丁（推荐，同步修复其他组件漏洞）
apt full-upgrade -y
步骤 2：重启 ssh 服务生效
bash
运行
systemctl restart sshd
# 查看ssh运行状态
systemctl status sshd
步骤 3：验证升级后版本，确认漏洞修复
bash
运行
ssh -V
输出版本 ≥9.x 基本修复两个高危漏洞；
若当前 Ubuntu 发行版源最高仅 8.x，无法升到 10.3：执行临时加固限制（下方三、兜底方案）。
步骤 4：长期验证无漏洞
升级完成后重新执行漏洞扫描，两个 CVE 高危漏洞标记会消失。
第二部分：F1000-AK1242 防火墙边界安全加固（阻断漏洞利用入口）
漏洞利用依赖 SSH 端口访问，在出口 / 内网域间防火墙做访问管控，缩小攻击面：
限制 SSH 源 IP 访问（最关键）
仅允许运维固定办公 IP 远程 SSH，拒绝全网任意地址访问 22 端口：
plaintext
# 1. 创建可信运维地址对象
object ip-address Admin_IP 192.168.1.100 255.255.255.255
# 2. 域间安全策略，仅可信IP放行TCP22，其余全部阻断
security-policy
rule 10 permit source Admin_IP destination 主机IP service tcp destination-port eq 22
rule 20 deny any destination 主机IP service tcp destination-port eq 22
修改 SSH 默认端口（可选，降低扫描暴露风险）
Ubuntu 内修改 sshd_config 更换 22 端口，防火墙同步放行新端口，关闭 22 端口全网访问。
开启防火墙入侵防御 IPS 特征
F1000-AK 系列内置 SSH 漏洞攻击特征库，加载 IPS 策略拦截漏洞利用报文：
plaintext
ips policy enable
ips signature update
ips apply policy default all
开启日志审计
防火墙记录所有 SSH 访问行为，方便溯源攻击：
plaintext
security-policy log enable all
info-center loghost 日志服务器IP
三、兜底加固（Ubuntu 无法升级 openssh 版本时临时缓解）
如果 Ubuntu 系统版本过旧，软件源无高版本 openssh 补丁，临时限制风险：
禁用密码登录，仅允许密钥登录，阻断远程注入入口
bash
运行
vi /etc/ssh/sshd_config
# 修改参数
PasswordAuthentication no
PermitRootLogin no
# 重载配置
systemctl reload sshd
关闭 scp 弱交互传输（业务允许时）
配置 hosts.allow/hosts.deny，仅内网运维网段访问 SSH
bash
运行
echo "sshd: 192.168.1.0/24" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny
四、整改验收标准
主机执行ssh -V，openssh 版本更新；
重新漏洞扫描，CVE-2020-15778、CVE-2021-41617 高危漏洞消除；
F1000 防火墙仅白名单 IP 可访问主机 SSH，无全网开放 22 端口；
SSH 仅密钥登录、禁止 root 远程登录。
五、补充风险提醒
只配置防火墙策略不升级 openssh无法彻底修复漏洞，仅能减少被攻击概率，等保 / 漏洞扫描依然会标记高危；
生产主机升级 openssh 建议业务低峰操作，避免 ssh 重启短暂断开远程连接；
升级前备份/etc/ssh/sshd_config配置，防止升级后配置丢失无法远程登录。