在ubuntu 14.04中升级openSSH 7.2p
我有一台运行Ubuntu 14.04的服务器,但我对PCI的要求有问题。我已经在我的服务器中安装了OpenSSH 6.6p1,然后我将其升级到OpenSSH 7.2p,直接从OpenSSH的存储库中使用make和make install编译代码,但似乎有些问题,因为我在检查了dpkg-l OpenSSH后继续获得旧版本:
ii openssh-client 1:6.6p1-2ubunt amd64 secure shell (SSH) client,
ii openssh-server 1:6.6p1-2ubunt amd64 secure shell (SSH) server,
ii openssh-sftp-serve 1:6.6p1-2ubunt amd64 secure shell (SSH) sftp server
和PCI扫描仪继续报告相同的问题,我必须安装最新版本的OpenSSH。
这是问题的CVI ID:CVE-2016-3115
共有3个答案
有两个答案已经提到了重新编译。如果您已经与ssh连接,他们建议的方式听起来可能不是一个安全的选择。他们也没有建议默认情况下如何处理OpenSSL 1.0.2 vs 1.1.0问题。/confiure在Ubuntu 14.04 LTS上找到OpenSSL的1.1.0版本。要修补OpenSSL 7.7源代码以使用OpenSSL 1.1.0,这里有一个补丁:
http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html
wget http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
tar -zxvf openssh-7.7p1.tar.gz
cd openssh-7.7p1
wget http://www.linuxfromscratch.org/patches/blfs/svn/openssh-7.7p1-openssl-1.1.0-1.patch
patch -Np1 -i ./openssh-7.7p1-openssl-1.1.0-1.patch
诀窍来了:你可以有两个sshd,这样你就不会失去当前的连接。我们将另一个sshd安装到 /opt,它的配置将在 /opt/etc
./configure --prefix=/opt
make ## in the end make will write where it will install, double check everything will go to /opt
make install
nano /opt/etc/ssh/sshd_config
在这里编辑端口,将其从22移到例如1888(确保端口已转发/打开/etc)
现在你可以启动新的sshd了
/opt/sbin/sshd
确保在重新启动时(例如systemd)也会启动另一个ssh。
两个SSHD现在同时运行。你可以尝试连接这个新建的。完成后,您可以安全地从apt中删除缺少openssh6.6的过时安全更新,或者至少停止守护进程并从启动时删除守护进程。
你离安全系统又近了一步。
在Ubuntu 16.04上测试
将ssh客户端升级到最新版本。更新了很多其他东西!
sudo apt-add-repository 'deb http://old-releases.ubuntu.com/ubuntu yakkety main universe multiverse'
sudo apt-get update
sudo apt-get install openssh-server=1:7.4p1-10
删除添加的存储库,以便以后不会发生额外的更新:
sudo apt-add-repository --remove 'deb http://old-releases.ubuntu.com/ubuntu yakkety main'
sudo apt-get update
注:对于17.04,将yakety更改为zesty(未测试)
我还需要安装最新的OpenSSH,但我想通过软件包安装它,而不是从源代码处编译。
sudo apt-add-repository 'deb http://archive.ubuntu.com/ubuntu yakkety main universe multiverse'
sudo apt-get update
sudo apt-get install openssh-server=1:7.3p1-1
这对我有用。(从技术上讲,这里只需要main和universe)
$ ssh -V
OpenSSH_7.3p1 Ubuntu-1, OpenSSL 1.0.2g 1 Mar 2016
编辑(2017-10-04):这个答案最近受到了一些关注,现在可能已经过时了。请记住,从这里只需要main和world,我特别想将其安装为一个包,而不是从源代码编译。请小心输入来自Internet的随机命令,无论陌生人(在这种情况下是我)有多善意!
-
问题内容: 我需要为MS-Access 2000编写一个SQL查询,以便在存在行的情况下进行更新,但在不存在的情况下进行插入。(我相信这被称为“ upsert”) IE 如果行存在… 如果不存在… 可以在一个查询中完成吗? 问题答案: 通常,我通常先运行insert语句,然后检查是否发生错误3022,这表明该行已存在。所以像这样: Edit1: 我想提一下,我在这里发布的内容是一个非常常见的解决方
-
一、本功能说明 本节提供了在线升级网站程序以及网站核心文件效验功能 二、子功能导航 1.在线升级 2.文件效验 三、功能详解 1.在线升级 1).如何进入本功能 导航栏 选择扩展 -> 菜单栏 选择在线升级 2).界面解释 进入后程序会自动获取是否有新版本,如果没有则显示如下界面 如果有新的版本则显示如下界面 这时候只要点击开始升级程序就会自动开始下载相应的补丁包,然后自动安装! 注意事项:
-
一、本功能说明 本节提供了在线升级网站程序以及网站核心文件效验功能 二、子功能导航 1.在线升级 2.文件效验 三、功能详解 1.在线升级 1).如何进入本功能 导航栏 选择扩展 -> 菜单栏 选择在线升级 2).界面解释 进入后程序会自动获取是否有新版本,如果没有则显示如下界面 如果有新的版本则显示如下界面 这时候只要点击开始升级程序就会自动开始下载相应的补丁包,然后自动安装! 注意事项:
-
问题内容: 我想知道如何在Windows Xampp中升级PHP?我试图从PHP主站点下载最新的PHP版本,但是当我检查(phpinfo)时,仍然可以看到以前的版本仍在使用中。 问题答案: 备份htdocs和data文件夹(MySQL文件夹的子文件夹),重新安装升级版本并替换那些文件夹。 注意: 如果您更改了配置文件,例如 PHP(php.ini),Apache(httpd.conf) 或任何其他
-
1. 缘由 公司有一个项目,需要用到websocket,所谓websocket是基于tcp/ip的协议,它跟http协议是同等级的。它解决的问题是长轮循的资源消耗问题。也就是用它做类似长轮循的应用时,因为本身协议的支持,资源消耗是较低的。类似的应用可以是聊天室,通知系统,股票实时更新等。具体的我们不再细说。由于我们项目是部署在nginx上的,用的ruby on rails开发的,使用的gem是ac
-
问题内容: 我是Linux新手。我正在使用Linux Mint 18.1。我已经使用系统软件管理器安装了R。我当前的R版本是3.2。但我想将其升级到版本3.4。 我该怎么做? 问题答案: 注意 :现在,我在GitHub(此处)上有关于在Linux Mint或UbuntuLinux上升级R的最新指南,其中还包含有关流行的数据处理程序集的系统依赖项的一些额外信息,例如以及流行的R包开发…包。 FedR