安全检查之后总有管理员找来问"检测到远端X服务正在运行中"这个漏洞是不是误报,因为端口banner显示的xwindow,大大的问号让我好好学习了一番。
了解到x服务就是UNIX中的一个图形化管理接口,x服务包括xserver和xwindow,默认监听端口就是6000,这台服务器6000端口运行的就是xwindow.并且使用"ll /etc/X11"或"rpm -qa | grep server"都能查看到有x11-server的安装包,认为不是误报。
xwindow是linux和unix操作系统7个运行级别(init 0-6)中的一个,是init 5 (图形界面模式)。
修复方法:
方法一: 在防火墙上禁止对6000/TCP端口的访问,以限制未授权的X访问。
方法二: 在X Server所在主机上执行xhost命令限制X Client所在IP,命令为xhost + ip。
方法三: 使用"service gdm3 stop"命令关闭x服务或用"init 3"切换到标准运行级多用户模式(即关闭图形界面模式)。
由于使用xhost + ip逐个添加太过麻烦,行内又不让使用防火墙,最后只能用"init 3"切换运行模式了。切换重启之后就扫不到这个漏洞了。