漏洞：ICMP timestamp请求响应漏洞

• 开启防火墙，过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --reload

漏洞：允许Traceroute探测

• 开启防火墙，出站规则中禁用echo-reply（type 0）、time-exceeded（type 11）、destination-unreachable（type 3）类型的ICMP包。

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --reload

ps验证：查看添加的防火墙规则

root@node63:~# firewall-cmd --direct --get-all-rules

ipv4 filter INPUT 0 -p ICMP --icmp-type 11 -m comment --comment 'deny traceroute' -j DROP

ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment 'deny ICMP timestamp' -j DROP

ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment 'deny ICMP timestamp' -j DROP

漏洞：解决服务器漏洞修复-可通过HTTP获取远端WWW服务信息

Nginx 隐藏server头信息_nginx隐藏响应头server-CSDN博客

原链接：Nginx添加ngx_http_headers_module模块_zhangge3663的博客-CSDN博客

（1）下载headers-more-nginx-module

# 举例目录/app/tools
cd /app/tools/
#下载插件
wget https://github.com/openresty/headers-more-nginx-module/archive/v0.33.tar.gz
#解压
tar -zxvf v0.33.tar.gz

（2）重新编译nginx

# 查看安装参数命令(取出：configure arguments:)
/app/nginx/sbin/nginx -V
# 在nginx资源目录编译
cd /app/nginx-1.12.2/
# 将上面取出的configure arguments后面追加 --add-module=/app/tools/headers-more-nginx-module-0.33
./configure --prefix=/app/nginx112 --add-module=/app/tools/headers-more-nginx-module-0.33
# 编辑，切记没有make install
make
（3） 备份nginx
cp /app/nginx112/sbin/nginx /app/nginx112/sbin/nginx.bak 
# 覆盖(覆盖提示输入y)
cp -f /app/nginx-1.12.2/objs/nginx /app/nginx112/sbin/nginx

（4）重启

执行完以上操作就可以到Nginx.conf的http中添加more_clear_headers 'Server'

./nginx -s stop
./nginx
./nginx -V

隐藏ssh的版本信息

cd /usr/sbin/ 
sed -i "s/OpenSSH_7.5p1/             /g" sshd;
sed -i "s/OpenSSH_7.5/           /g" sshd 
service sshd restart

        查看ssh版本信息

        nc ip 端口

        nmap -p 22 -sV -v -n ip

SSH版本信息可被获取_明算科的博客-CSDN博客

升级OpenSSL隐藏版本号、升级OpenSSH隐藏版本号_configure: error: selinux support requires selinux-CSDN博客

限制IP SSH登录

防火墙设置ip访问ssh

1. systemctl enable firewalld       开机启动状态      
2. systemctl start firewalld         
3. systemctl status firewalld   执行命令启动服务并查看服务运行状态，
4. firewall-cmd --permanent --remove-service=ssh
5. firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'                                         

允许ip或ip段访问22端口的ssh服务，例如下面命令执行后，将允许192.168.1.0/24这个ip段允许访问ssh服务

6.firewall-cmd --reload              重载firewall配置，使其生效

nginx 域名访问限制不严格漏洞 修复https://blog.csdn.net/qq_45809480/article/details/126997333(2条消息) HTTP/2 资源管理错误漏洞(CVE-2019-9513)脆弱性分析报表修复_goodjob110的博客-CSDN博客https://blog.csdn.net/lazycheerup/article/details/104822206

nginx 配置网站只允许域名访问，不允p访问

方法一

在配置中加入一句判断，示例如下：

listen       80;
server_name  www.xuqian8.com;
if ($host != 'www.xuqian8.com'){
   return 403;
}

方法二

location /xxx {
    #只允许从servicewechat.com发起访问
    valid_referers servicewechat.com;
    if ($invalid_referer) {
        return 403;
    }
    ......其余省略
}

web漏洞目标服务器启用了DEBUG方法
建议WEB服务、器仅启用GET. POST. HEAD方法，禁用OPT工ONS. PUT. PATCH. DELETE. TRACE.
CONNECT, DEBUG等方法。如果实在必要，请限定这些HTTP方法只能在指定的目录下运行，该
目录不应包含重要的文件。

 if ($request_method !~* GET|POST) {
            return 403;

       }

升级OpenSSL ，禁止使用DES加密算法

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 -阿里云开发者社区

修复Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞（CVE-2002-20001）

(25条消息) 修复Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞（CVE-2002-20001）_Cwillchris的博客-CSDN博客

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 -阿里云开发者社区

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(25条消息) SSL/TLS协议信息泄露漏洞(CVE-2016-2183)_cve-2016-2183漏洞复现_KALC的博客-CSDN博客

https://www.cnblogs.com/liujiaxin2018/p/16154312.html

http请求头缺失

 add_header X-Content-Type-Options nosniff;

  add_header X-Permitted-Cross-Domain-Policies  "master-only";
  add_header 'Referrer-Policy' 'origin';
  add_header X-Download-Options "noopen" always;

  add_header X-Frame-Options SAMEORIGIN;
   add_header X-Content-Type-Options: nosniff;
    add_header X-XSS-Protection "1; mode=block";
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

   
        add_header Content-Security-Policy "default-src 'self' data: *.xxx.com  'unsafe-inline' 'unsafe-eval' mediastream: ";
   


【漏洞预警】Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)

liblzma/xz官方库后门漏洞 通过降低版本解决