【已完成】新7.9.10版本宝塔安全风险修复问题

这个升级新版7.9.10后，其他风险项可以看着解决方案操作，但是这4个的解决方案，看得云里雾里，本人小白，买的是专业版，里面的一键修复只能企业版的用户使用，有哪位懂得大佬能给这几个解决方案说的详细点，怕误操作又要重装面板甚至系统。上次也是修改这几个，导致连服务器ssh都连接不上，服务器商业没法搞，只能含泪舍弃整个服务器的数据重装系统。官方这几个风险项解决方案又写的模棱两可含糊其词的。可能精通的人看一眼就知道去哪里操作，但是对于小白用户，就是个陷阱。另外建议官方，像里面要添加什么进去的，建议直接告诉用户添加到哪里的下面，不然小白用户加的是惊心动魄，因为不懂，不知道加上去会出现什么问题，执行了那个命令后，出现问题了又应该怎么解决，不然就会和我上次一样，整个服务器挂了。

问题一
检测类型：检查密码重复使用次数限制风险等级：中危
风险描述：未限制密码重复使用次数
解决方案：1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5

解决方案里面的1，是要去哪里操作或者只是单纯执行这个命令，没写清楚，2这个区找了半年，找不到system-auth这个文件

问题二：
检测类型：检查拥有suid和sgid权限的文件风险等级：中危
风险描述：以下文件存在sid特权，chmod u-s或g-s去除sid位："/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport"
解决方案：1、使用chmod u-s/g-s 【文件名】命令修改文件的权限

这个看的云里雾里，没看懂是要我们去哪里操作，要操作什么，我（小白用户）能理解到的就是执行chmod u-s/g-s （上面提到的文件名比如chmod u-s/g-s /usr/bin/chage），然后依次执行上面所有文件，但是又怕理解错，上次没理解对，执行后，服务器挂了只能重装，如果是真的我理解的那样，其实这个解决方案应该写：使用chmod u-s/g-s 【文件名】命令修改文件的权限，例如
依次执行
chmod u-s/g-s /usr/bin/chage
chmod u-s/g-s /usr/bin/gpasswd
以此类推

不然对于小白来说，真不敢去执行

824144512 发表于 2023-5-20 10:56
问题一
检测类型：检查密码重复使用次数限制风险等级：中危
风险描述：未限制密码重复使用次数

您好，通过面板文件管理----进入/etc/pam.d目录，然后搜索system-auth文件名称。
然后编辑第一个文件，然后找打截图位置，将remember=5参数添加。

824144512 发表于 2023-5-20 11:02
问题二：
检测类型：检查拥有suid和sgid权限的文件风险等级：中危
风险描述：以下文件存在sid特权，chmod u ...

您好，非高风险您可以选择调整，如不会操作可以找您或者第三方技术给您调整。
当前描述后续我们考虑尝试调整优化输出下。再服务器命令行终端下执行：

1. chmod u-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport

复制代码

或

1. chmod g-s /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /bin/mount /bin/umount /sbin/netreport

复制代码

谢花郎 发表于 2023-5-20 14:08
您好，通过面板文件管理----进入/etc/pam.d目录，然后搜索system-auth文件名称。
然后编辑第一个文件，然 ...

感谢解答，建议这个能写到那个解决方案里面，不然确实不知道应该在这个位置添加，大多都是加到底部最后的位置