У нас есть сервер Ubuntu с 16.04, который используется для веб-сайта клиента. Недавно у клиента был проведен аудит безопасности, и одна из рекомендаций заключалась в том, чтобы обновить нашу версию OpenSSH как минимум до версии 7.4, но 16.04 поставляется с предустановленной версией 7.2. Я попытался просто сделать прямое обновление, но 7.2 является последней версией, поэтому мы теперь пытаемся установить 7.6 вручную.
Я загрузил и установил 7.6 нормально, и кажется, что он работает нормально: [ ! d1] sshd
OpenSSH_7.6p1, OpenSSL 1.0.2g 1 Mar 2016
Однако при удаленном подключении или даже при запуске ssh -v localhost он соединяется с использованием старого 7.2:
root@server-new:~# ssh -v localhost
...
debug1: Local version string SSH-2.0-OpenSSH_7.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.2p2
Ubuntu-4ubuntu2.2
debug1: match: OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 pat OpenSSH* compat 0x04000000
...
. Это в основном процесс, который я прошел, за исключением 7.6 package: https://gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e
Что я заметил, так это то, что теперь каталог установки отличается от /usr/sbin/ssh, но теперь он /usr/local/sbin/ssh
root@server-new:~# which sshd
/usr/local/sbin/sshd
root@server-new:~# which ssh
/usr/local/bin/ssh
Я обновил оба параметра /etc/init.d/ssh и /etc/init/ssh.conf, чтобы использовать новый путь, но даже после перезапуска он, похоже, не имеет большого значения.
Что мы делаем неправильно? Я предполагаю, что нам просто нужно указать, чтобы использовать установку SSH при запуске, но я не вижу, как это делается.
Я нашел кучу других потоков, но ничего не помогает, например.
https://gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e
Обновление сервера OpenSSH в 12.04?
Обновление сервера OpenSSH в 12.04?
Спасибо
Это классическая логическая ловушка I-want-LTS-but-I-don-t-want-LTS.
Одна из целей Ubuntu LTS - обеспечить вам стабильность. Ubuntu делает это с помощью Это классическая логическая ловушка I-want-LTS-but-I-don't-want-LTS. увеличивает версии программного обеспечения. Когда вы решите использовать LTS, вы блокируете себя в этих версиях без изменений в течение двух лет.
(Если это не то, что вы хотите, тогда не используйте LTS.)
НО есть одно крошечное исключение: обновления безопасности. Команда Ubuntu Security Team выдает обновление безопасности , наступая на следующий выпуск вверх по течению (что, конечно же, нарушит LTS). Вместо этого они исправляют исходный код.
Итак, когда обнаруживается уязвимость в OpenSSH 7.2, происходят две вещи:
Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3. , команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.С точки зрения безопасности они идентичны - все те же уязвимости закрыты в обоих. Ваш аудитор безопасности просто этого не осознает.
BUT
Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3
Однако команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.Это классическая логическая ловушка I-want-LTS-but-I-don-t-want-LTS.
Одна из целей Ubuntu LTS - обеспечить вам стабильность. Ubuntu делает это с помощью Это классическая логическая ловушка I-want-LTS-but-I-don't-want-LTS. увеличивает версии программного обеспечения. Когда вы решите использовать LTS, вы блокируете себя в этих версиях без изменений в течение двух лет.
(Если это не то, что вы хотите, тогда не используйте LTS.)
НО есть одно крошечное исключение: обновления безопасности. Команда Ubuntu Security Team выдает обновление безопасности , наступая на следующий выпуск вверх по течению (что, конечно же, нарушит LTS). Вместо этого они исправляют исходный код.
Итак, когда обнаруживается уязвимость в OpenSSH 7.2, происходят две вещи:
Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3. , команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.С точки зрения безопасности они идентичны - все те же уязвимости закрыты в обоих. Ваш аудитор безопасности просто этого не осознает.
BUT
Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3Сайт OpenSSH сообщает, что каждый должен немедленно перейти на новый OpenSSH 7.3
Однако команда безопасности Ubuntu подталкивает OpenSSH 7.2p2-4ubuntu2.2 к вам.