一:漏洞分析
最近進行linux系統安全加固分析,進行漏洞掃描掃描分析,不掃不知道,一掃嚇一跳,linux系統服務器的
OPENSSH存在3大安全漏洞,祥如下:
1:OpenSSH GSSAPI 處理遠端代碼執行漏洞
漏洞分類 守護進程類
危險級別 高
影響平臺 OpenSSH OpenSSH < 4.4
詳細描述 OpenSSH 4.3 之前的 portable 版本存在遠端代碼執行漏洞. ***者可以利用race 無法處理特別製作
的 signal handler 而導致阻斷服務. 如果通過 GSSAPI 認證,***者可以在系統上執行任意代碼.
修補建議 以下措施進行修補以降低威脅: 升級至 OpenSSH 4.4 或最新版本的 OpenSSH. OpenSSH 4.4
released ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
參考網址 # MLIST:[openssh-unix-dev] 20060927 Announce: OpenSSH 4.4 released #
URL:http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2
2:OpenSSH GSSAPI認證終止信息泄露漏洞
漏洞編號 000a03fa
漏洞分類 守護進程類
危險級別 中
詳細描述 OpenSSH portable 版本 GSSAPI 認證存在信息泄露漏洞. 遠端***者可以利用GSSAPI 認證終止回傳
不同的錯誤訊息和確認 usernames 非特定的平臺進而***,***者可以獲得 usernames 的信息.
修補建議 升級至 OpenSSH 4.4 或最新版本的 OpenSSH. OpenSSH 4.4 released
http://www.openssh.com/txt/release-4.4
參考網址 * BUGTRAQ:20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh-
server * URL:http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded
3:OpenSSH X連接會話劫持漏洞
漏洞分類 守護進程類
危險級別 中
影響平臺 OpenSSH < 4.3p2
詳細描述 在通過啓用了X11轉發的SSH登錄時,sshd(8)沒有正確地處理無法綁定到IPv4端口但成功綁定到IPv6端
口的情況。在這種情況下,使用X11的設備即使沒有被sshd(8)綁定也會連接到IPv4端口,因此無法安全的進行轉
發。 惡意用戶可以在未使用的IPv4端口(如tcp 6010端口)上監聽X11連接。當不知情的用戶登錄並創建X11轉
發時,惡意用戶可以捕獲所有通過端口發送的X11數據,這可能泄露敏感信息或允許以使用X11轉發用戶的權限執
行命令。
修補建議 建議您採取以下措施進行修補以降低威脅: OpenSSH已經提供更新的下載地址: # OpenSSH
openssh-3.9p1-skip-used.patch http://cvs.fedora.redhat.com/viewcvs/rpms/openssh/devel/openssh-
3.9p1-
skip-used.patch?rev=1.1&view=markup
參考網址 * BUGTRAQ:20080325 rPSA-2008-0120-1 gnome-ssh-askpass openssh openssh-client openssh-
server * URL:http://www.securityfocus.com/archive/1/archive/1/490054/100/0/threaded
#################################################################################
二:漏洞修復
我的修復步驟!
通過以上的統計分析,我的第一想法就是升級OPENSSH 堵住安全漏洞,下面是我的升級方法步驟:
1
wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-5.8p2.tar.gz
現在高版本OPENSSH安裝程序,現在最高版本是6.0,還是安全起見,不使用最新版本,我選擇5.8P2下載安裝。
2
tar xvf openssh-5.8p2.tar.gz #不解釋
3
cd openssh-5.8p2 #不解釋
4
./configure --prefix=/usr --sysconfdir=/etc/ssh
下載的是源碼包要編譯一下,注意我的編譯路徑,我是講OPENSSH安裝在,原來的路徑下,這樣後面安裝完成後
就不用在從新copy SSHD服務到/etc/init.d/下了!,可以根據實際情況定製安裝路徑。
5
make #不解釋
6
mv /etc/ssh/* /etc/sshbak/
由於我使安裝在原路徑下,所以我將就的配置文件挪了一下位置,不然make install 會報錯!
7
make install #不解釋
8
/etc/init.d/sshd restart
這裏注意安全,如果你前面編譯報錯了,還強制安裝,SSHD服務可能就起不來了,後果你懂得!
9
chkconfig --add sshd #不解釋
10
chkconfig sshd on #不解釋
如果你的sshd服務正常啓動,那麼恭喜你!
使用ssh -V 命令查看一下
[health@jumpserver-12 ~]$ ssh -V
OpenSSH_5.8p2, OpenSSL 1.0.0-fips 29 Mar 2010
已經成功升級至5.8版本!
三:故障排查
故障排查:
./configure 之後報錯報錯排查,
安裝 gcc-4.5.1.tar.bz2 和 openssl-devel