前因：

創(chuàng)新互聯(lián)建站專注于瑤海網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供瑤海營銷型網(wǎng)站建設(shè)，瑤海網(wǎng)站制作、瑤海網(wǎng)頁設(shè)計(jì)、瑤海網(wǎng)站官網(wǎng)定制、微信小程序開發(fā)服務(wù)，打造瑤海網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供瑤海網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

系統(tǒng)掃描出兩個(gè)漏洞。1：數(shù)據(jù)庫oracle漏洞。2：openssh漏洞。

linux操作系統(tǒng) redhat4.7企業(yè)版，oracle11g

解決思路：

1 oracle補(bǔ)丁一般是收費(fèi)的，而且漏洞對(duì)數(shù)據(jù)庫其實(shí)沒有太多影響，不建議打補(bǔ)丁。

2 升級(jí)openssh，但是操作系統(tǒng)版本是在太老了。客戶要求升級(jí)ssh到最新8.3版本，且不說4.7的操作系統(tǒng)支不支持8.3的ssh，即使支持，升級(jí)ssh也需要依賴zlib、ssl、perl、gcc等。

后來在自己虛擬機(jī)上安裝了redhat4.8，最終ssh8.3升級(jí)成功，另一篇文章介紹。

解決方法：

通過添加白名單，允許指定ip訪問1521和22，規(guī)避掃描

編輯 vi /etc/sysconfig/iptables

#新建報(bào)名單
-N whitelist

#兩個(gè)ip允許訪問1521
-A INPUT -p tcp -s 73.XX.XX.137  --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 137.XX.XX.0/24 --dport 1521 -j ACCEPT            #因?yàn)榛ヂ?lián)網(wǎng)訪問匯總成網(wǎng)閘，是0-24的網(wǎng)段
#一個(gè)ip允許訪問22
-A INPUT -p tcp -s 73.XX.XX7.137  --dport 22 -j ACCEPT

-A INPUT -p tcp -j whitelist
-A INPUT -p udp -j whitelist

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug  7 08:51:17 2020

保存后重啟

service iptables restart

分享名稱：通過白名單iptables限制ip規(guī)避漏洞-創(chuàng)新互聯(lián)
本文來源：http://weahome.cn/article/dsdojo.html