Ubuntu Exploit：如何修复安全漏洞

Ubuntu 漏洞修复与加固实操指南

一紧急处置流程

立即隔离受影响主机：断开公网/内网连接，避免横向移动与数据外泄。
快速止血与取证：备份当前状态（如内存、进程、网络连接），保留关键日志（如 /var/log/auth.log、/var/log/syslog），便于溯源。
临时加固：关闭非必要服务与端口，限制对外暴露面；必要时将业务切换到备用实例。
通知相关方：涉及敏感数据或对外服务时，及时告知用户与干系人。
修复与验证：按漏洞公告应用补丁，完成后进行功能与安全性验证。
恢复与复盘：确认无残留风险后恢复上线，开展安全审计与复盘改进。
以上步骤有助于在漏洞被利用时快速降低损失并提升后续防护能力。

二标准修复流程

三常见加固要点

身份鉴别与账户安全
- 限制登录失败锁定：在 /etc/pam.d/common-auth 或 /etc/pam.d/sshd 增加如
  auth required pam_tally.so deny=5 unlock_time=600
  或
  auth required pam_faillock.so preauth silent deny=5 unlock_time=600
- 限制 su 切换：在 /etc/pam.d/su 增加
  auth required pam_wheel.so use_uid 或 auth required pam_wheel.so group=wheel
- 密码策略：用 chage -M <天数> <用户> 设置密码最长使用期，避免长期使用同一口令。
关键文件与目录权限
- 设置 /etc/shadow 权限为 400 并属主 root:shadow：chmod 400 /etc/shadow; chown root:shadow /etc/shadow
- 设置 /etc/gshadow 权限为 400 并属主 root:shadow：chmod 400 /etc/gshadow; chown root:shadow /etc/gshadow
- 设置 /var/spool/cron 权限为 700 并属主 root:root：chmod 700 /var/spool/cron; chown root:root /var/spool/cron
服务与访问控制
- 启用 UFW 防火墙，仅放行必要端口（如 22/80/443）。
- 强化 SSH：禁用 root 登录，使用 SSH 密钥 认证，限制可登录用户与来源网段。
  以上加固项成本低、收益高，建议作为基线配置长期执行。

四内核与引导修复要点

修复后仍未生效：若一键修复提示“修复成功，待重启”但重启后漏洞告警仍在，多为 GRUB 默认启动项未指向新内核。
处理方案
- 自动方式：修复前设置环境变量 DEBIAN_FRONTEND=noninteractive，执行修复并重启，系统将自动启用最新内核。
- 手动方式：重启后进入 GRUB，选择新内核或在 /etc/default/grub 中调整 GRUB_DEFAULT，执行 update-grub 后再次重启。
何时必须重启：修复内核漏洞或控制台标注“需要重启”的更新，需重启以加载新内核/库文件。

五近期需重点关注的高危漏洞

CVE-2025-6018 / CVE-2025-6019 链式提权
- 要点：CVE-2025-6018 涉及 PAM 配置不当导致远程会话获得特权状态；CVE-2025-6019 位于 libblockdev 经 udisks2 触发本地提权。
- 影响：在部分发行版可形成从普通用户到 root 的提权链。
- 状态：官方已发布修复版本；Ubuntu 不受 CVE-2025-6018 影响（未启用相关远程配置），但需修复 CVE-2025-6019。
- 修复：执行 apt update && apt upgrade 更新 libblockdev/udisks2 等组件；检查并收紧 polkit 规则，避免对 org.freedesktop.udisks2.modify-device 等动作设置过宽的 allow_active 策略。
CVE-2021-4034（polkit pkexec 本地提权）
- 要点：影响 polkit 的 pkexec，本地攻击者可通过环境变量诱导执行任意代码获取 root。
- 修复：升级 polkit 至安全版本。
  以上信息有助于快速定位近期高发风险并选择正确的修复动作。

最新问答