H3C MSR 56-60 被扫描出snmp弱口令漏洞，端口161，账户public

可通过如下配置进行修复：

snmp-agent community read xxx 

//避免使用public和private等常见团体字

snmp-agent community write xxxx 

//避免使用public和private等常见团体字

snmp-agent sys-info version v3 v2c

//系统应配置为SNMP V2c或以上版本

snmp-agent community read XXXX acl 2000

//只允许特定主机通过SNMP访问网络设备

没特殊需求关闭snmp或关联acl

您好，没有用snmp的话，关闭就行

你把snmp的public修改成其它community就行了

一、登录路由器命令行（优先通过 Console 口或 SSH）

1. 通过 Console 口登录：
   • 使用 Console 线连接路由器的 Console 口与电脑，打开终端工具（如 PuTTY），参数设置：
     • 波特率：9600
     • 数据位：8，停止位：1，奇偶校验：无，流控：无
   • 登录后进入系统视图：system-view
2. 通过 SSH 登录（若已启用且密码安全）：
   ssh 路由器管理IP # 输入用户名和密码登录，进入系统视图

二、修改 SNMP 配置，替换弱口令

1. 删除默认的 public 组和用户：
   [H3C] snmp-agent community delete public # 删除默认的public团体字

   [H3C] snmp-agent usm-user delete v3 public # 若存在v3用户，一并删除
2. 创建新的 SNMP 团体字（替换弱口令）：
   [H3C] snmp-agent community read NEW_COMMUNITY # 配置只读团体字（如替换为复杂字符串，避免弱口令）

   [H3C] snmp-agent community write NEW_COMMUNITY_WRITE # 若需写权限，单独配置（建议最小化权限）
   说明：NEW_COMMUNITY需设置为复杂字符串（如字母 + 数字 + 符号，长度≥8 位），避免弱口令风险。
3. （可选）配置 SNMP v3 用户（更安全的认证方式）：若对安全性要求高，可启用 SNMP v3（基于用户名 + 密码 + 加密），替代 SNMP v2c 的团体字：
   [H3C] snmp-agent usm-user v3 USERNAME cipher NEW_PASSWORD # 创建v3用户，设置复杂密码

   [H3C] snmp-agent group v3 GROUPNAME read-view iso # 配置用户组的访问视图 [H3C] snmp-agent usm-user bind v3 USERNAME GROUPNAME # 绑定用户与用户组

三、验证配置

1. 查看当前 SNMP 配置，确认旧的public已删除，新团体字生效：
   display snmp-agent community

   display snmp-agent usm-user
2. 测试新团体字的可用性（可选）：使用 SNMP 工具（如snmpwalk）测试新配置，确保扫描工具无法再通过public获取信息：
   snmpwalk -v 2c -c NEW_COMMUNITY 路由器管理IP 1.3.6.1.2.1.1 # 验证只读访问

四、补充安全措施

1. 关闭不必要的 SNMP 功能：若业务不需要 SNMP，可直接禁用 SNMP 服务（但需确认业务无依赖）：
   [H3C] undo snmp-agent enable
2. 限制 SNMP 访问源：仅允许指定 IP（如运维管理主机）访问 SNMP，增强安全性：
   [H3C] snmp-agent community read NEW_COMMUNITY acl 2000 # ACL 2000需配置允许的源IP