Старая версия сервера SSH, запущенная после обновления

У нас есть сервер Ubuntu с 16.04, который используется для веб-сайта клиента. Недавно у клиента был проведен аудит безопасности, и одна из рекомендаций заключалась в том, чтобы обновить нашу версию OpenSSH как минимум до версии 7.4, но 16.04 поставляется с предустановленной версией 7.2. Я попытался просто сделать прямое обновление, но 7.2 является последней версией, поэтому мы теперь пытаемся установить 7.6 вручную.

Я загрузил и установил 7.6 нормально, и кажется, что он работает нормально: [ ! d1] sshd OpenSSH_7.6p1, OpenSSL 1.0.2g 1 Mar 2016

Однако при удаленном подключении или даже при запуске ssh -v localhost он соединяется с использованием старого 7.2:

root@server-new:~# ssh -v localhost ... debug1: Local version string SSH-2.0-OpenSSH_7.6 debug1: Remote protocol version 2.0, remote software version OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 debug1: match: OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 pat OpenSSH* compat 0x04000000 ...

. Это в основном процесс, который я прошел, за исключением 7.6 package: https://gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e

Что я заметил, так это то, что теперь каталог установки отличается от /usr/sbin/ssh, но теперь он /usr/local/sbin/ssh

root@server-new:~# which sshd /usr/local/sbin/sshd root@server-new:~# which ssh /usr/local/bin/ssh

Я обновил оба параметра /etc/init.d/ssh и /etc/init/ssh.conf, чтобы использовать новый путь, но даже после перезапуска он, похоже, не имеет большого значения.

Что мы делаем неправильно? Я предполагаю, что нам просто нужно указать, чтобы использовать установку SSH при запуске, но я не вижу, как это делается.

Я нашел кучу других потоков, но ничего не помогает, например.

https://gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e

Обновление сервера OpenSSH в 12.04?

Обновление сервера OpenSSH в 12.04?

Спасибо

-1
задан 20 October 2017 в 05:39

2 ответа

Это классическая логическая ловушка I-want-LTS-but-I-don-t-want-LTS.

Одна из целей Ubuntu LTS - обеспечить вам стабильность. Ubuntu делает это с помощью Это классическая логическая ловушка I-want-LTS-but-I-don't-want-LTS. увеличивает версии программного обеспечения. Когда вы решите использовать LTS, вы блокируете себя в этих версиях без изменений в течение двух лет.

(Если это не то, что вы хотите, тогда не используйте LTS.)

НО есть одно крошечное исключение: обновления безопасности. Команда Ubuntu Security Team выдает обновление безопасности , наступая на следующий выпуск вверх по течению (что, конечно же, нарушит LTS). Вместо этого они исправляют исходный код.

Итак, когда обнаруживается уязвимость в OpenSSH 7.2, происходят две вещи:

Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3. , команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.

С точки зрения безопасности они идентичны - все те же уязвимости закрыты в обоих. Ваш аудитор безопасности просто этого не осознает.

BUT

Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3

Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3

Однако команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.
2
ответ дан 18 July 2018 в 05:01

Это классическая логическая ловушка I-want-LTS-but-I-don-t-want-LTS.

Одна из целей Ubuntu LTS - обеспечить вам стабильность. Ubuntu делает это с помощью Это классическая логическая ловушка I-want-LTS-but-I-don't-want-LTS. увеличивает версии программного обеспечения. Когда вы решите использовать LTS, вы блокируете себя в этих версиях без изменений в течение двух лет.

(Если это не то, что вы хотите, тогда не используйте LTS.)

НО есть одно крошечное исключение: обновления безопасности. Команда Ubuntu Security Team выдает обновление безопасности , наступая на следующий выпуск вверх по течению (что, конечно же, нарушит LTS). Вместо этого они исправляют исходный код.

Итак, когда обнаруживается уязвимость в OpenSSH 7.2, происходят две вещи:

Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3. , команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.

С точки зрения безопасности они идентичны - все те же уязвимости закрыты в обоих. Ваш аудитор безопасности просто этого не осознает.

BUT

Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3

Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3

Однако команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.
2
ответ дан 24 July 2018 в 18:13
  • 1
    Это интересно о патчах OpenSSH - я не понимал, что они так работали. Вы говорите, что, хотя мы фактически 3 версии позади (7.3, 7.4, 7.5), на самом деле не будет никаких уязвимостей, поскольку мы находимся на 7.2p2? – Onfire 20 October 2017 в 06:01
  • 2
    Верный. Было бы глупо позволять LTS быть уязвимым, поэтому мы этого не делаем - в конце концов, это предназначено для использования в корпоративном производстве. Подробные сведения о каждом из них приведены в вики Wubuntu Security Team. Не стесняйтесь отскакивать список OpenSSH от вулканов против списка патчей Ubuntu. – user535733 20 October 2017 в 06:07
  • 3
    Да, это имеет смысл. Если мы должны продвигаться вперед с этим независимо, знаете ли вы, как мы можем заставить 7.6 загружаться? – Onfire 20 October 2017 в 06:19
  • 4
    Удалите пакет Ubuntu, установите 7.6 из любого места. Разрешить конфликты версий зависимостей. Промыть и повторить. – user535733 20 October 2017 в 14:03

Другие вопросы по тегам:

Похожие вопросы: