要实施临时解决办法,请执行以下操作之一:
权宜措施 1
移除非 root 用户对设备 shell 的访问权限:
- 使用 SSH 会话以 root 用户身份登录到 vRealize Automation 设备。
- 使用以下命令备份 /etc/passwd 文件:
cp /etc/passwd /etc/passwd.bkup
- 下载 52497_identify_non_root_users62x.py.gz 脚本。
- 提取脚本并将其传输到设备。
- 运行以下命令以确保该脚本可执行:
chmod 755 identify_non_root_users62x.py
- 要列出所有非 root 自定义用户,请运行以下命令,并记下列出的用户
python identify_non_root_users62x.py
如果控制台中未列出任何用户,则表示没有要禁用的用户。
- 使用以下命令在纯文本编辑器中打开 /etc/passwd 文件:
vi /etc/passwd
- 搜索在步骤 6 中确定的所有非 root 用户。
例如,用户测试有权访问 bash。
test:x:1020:100:test:/home/test:/bin/bash
- 将默认 shell 访问权限由 /bin/bash 更改为 /sbin/nologin。
例如:
test:x:1020:100:test:/home/test:/sbin/nologin
- 保存并退出文件。
要确认该解决办法可行,请运行以下步骤:
- 尝试使用 SSH 以步骤 6 中的非 root 用户身份登录到 vRealize Automation 设备。
- 非 root 用户应该不再能够登录。
要移除此解决办法,请运行以下步骤:
- 使用 SSH 会话以 root 用户身份登录到 vRealize Automation 设备。
- 使用以下命令备份 /etc/passwd 文件:
cp /etc/passwd /etc/passwd.modified.bkup
- 将所有非 root 用户的默认 shell 访问权限由 /sbin/nologin 更改为 /bin/bash。
例如:
test:x:1020:100:test:/home/test:/bin/bashsh
- 保存并退出文件
权宜措施 2
在 vRealize Automation 设备上禁用 SSH shell:
- 使用 SSH 会话以 root 用户身份登录到 vRealize Automation 设备。
- 登录后,运行以下命令:
- /etc/init.d/sshd stop
- chkconfig sshd off
要验证解决办法,请运行以下步骤:
- 尝试使用 SSH 从任何其他计算机登录到设备。
- 此时应提示连接被拒绝。
要移除此解决办法,请运行以下步骤:
- 从 vSphere 控制台以 root 身份登录。
- 使用命令 /etc/init.d/sshd start 启动 ssh 服务。
- 运行命令 chkconfig sshd on。
此权宜措施可有效解决的示例漏洞:
- CVE-2017-5753
- CVE-2017-5715
- CVE-2017-5754