mise à niveau openSSH 7.2 p dans ubuntu 14.04
J'ai un serveur sous Ubuntu 14.04, mais j'ai un problème avec les exigences de PCI. J'ai installé dans mon serveur OpenSSH 6.6p1, puis je l'ai mise à niveau à la version 7.2 p, de compiler le code avec make et make install directement à partir des référentiels de OpenSSH, mais il semble que quelque chose est cassé parce que je continue d'obtenir de l'ancienne version après je vérifie dpkg -l openssh\*
:
ii openssh-client 1:6.6p1-2ubunt amd64 secure shell (SSH) client,
ii openssh-server 1:6.6p1-2ubunt amd64 secure shell (SSH) server,
ii openssh-sftp-serve 1:6.6p1-2ubunt amd64 secure shell (SSH) sftp server
Et PCI scanner continue de signaler le même problème sur que j'ai installer la dernière version d'OpenSSH.
C'est la CVI Id de la question: CVE-2016-3115
La raison dpkg affiche toujours l'ancienne version, c'est qu'il ne sait pas sur celui que vous avez compilé à partir des sources.
J'ai mis à jour ma version d'Ubuntu vers la dernière version LTS afin de résoudre ce problème.
J'ai mis à jour ma version d'Ubuntu vers la dernière version LTS afin de résoudre ce problème.
OriginalL'auteur Rigoberto Giraldo Carmona | 2016-04-06
Vous devez vous connecter pour publier un commentaire.
J'ai besoin d'installer la dernière version d'OpenSSH, mais je voulais l'installer via un package au lieu de les compiler à partir des sources.
Il a travaillé pour moi. (Techniquement, seuls principal et de l'univers ont été nécessaires ici)
Modifier (2017-10-04): Cette réponse a été de recevoir un peu d'attention ces derniers temps et peut-être hors de date. Rappelez-vous seulement
main
etuniverse
ont été nécessaires à partir de cela, et j'ai précisément voulu installer ce comme un paquet au lieu de les compiler à partir des sources. Merci de faire attention à taper aléatoire commandes à partir de l'internet, peu importe comment bien intentionnés à l'étranger (en l'occurrence moi)!Mot de prudence: l'ajout de ce nouveau référentiel d'apt causé apt pour installer et supprimer tout un tas de paquets, qui finit murer mon installation d'Ubuntu à l'inutile (pas de wifi, pas de gestionnaire de fenêtre, impossible de monter les disques durs externes, etc).
viens de faire un sudo apt-add-repository --remove 'deb archive.ubuntu.com/ubuntu piquante principal universe multiverse " après l'installation de ssh et il doit être sûr.
cela fonctionne pour moi sur 14.04: gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e
cette solution n'a pas fonctionné pour moi sur la 14.04. il a ajouté cette ligne "deb archive.ubuntu.com/ubuntu yakkety principal universe multiverse" à /etc/apt/sources.liste des pauses apt-get update. j'ai supprimé manuellement et maintenant je peux le faire "apt-get update", mais toujours pas de ssh de mise à niveau a été fait.
OriginalL'auteur flanger001
Testé sur Ubuntu 16.04
mises à niveau ssh-client à la dernière version.
les mises à jour de beaucoup d'autres choses!
supprimer référentiel qui a été ajoutée supplémentaire mises à jour ne se font pas plus tard:
note:
Pour 17.04 changement yakety à zesty (non testé)
main
dans la suppression de l'étape.citation ajouté. merci @phpguru
OriginalL'auteur oneklc
Il y a deux réponses déjà mentionner le recompiler. La façon dont ils suggèrent qu'il peut ne pas sembler être une option sûre si vous êtes déjà connecté en ssh. Aussi, ils ne parviennent pas à suggérer quoi faire avec OpenSSL 1.0.2 vs 1.1.0 question en tant que par défaut ./configurer trouve sur Ubuntu 14.04 LTS la 1.1.0 version de OpenSSL. Pour patch OpenSSL 7.7 sources de travailler avec OpenSSL 1.1.0 voici un patch:
http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html
Et voici l'astuce: vous pouvez avoir DEUX disques hybrides ssd afin de ne pas perdre la connexion en cours. Nous allons installer cette autre sshd /opt et sa configuration sera dans /opt/etc
Ici de modifier le port, prendre à partir de 22, par exemple, 1888 (assurez-vous que le port est transmis/ouvert/etc)
Et maintenant, vous pouvez commencer la nouvelle sshd
Assurez-vous de redémarrer quelque chose (par exemple systemd) va démarrer cette autre ssh trop.
Les 2 disques hybrides ssd sont maintenant en cours d'exécution simultanément. Vous pouvez essayer de vous connecter avec ce nouvellement construit. Lorsque vous avez terminé, vous pouvez supprimer l'ancienne et de la mise à jour de sécurité manque openssh6.6 d'apt, ou au moins arrêter le démon et retirez le démon de démarrage.
Et vous êtes un pas de plus vers un système sécurisé.
OriginalL'auteur dszakal
C'est une modification de @dszakal commentaire car je n'ai pas exactement la même choses à faire (Ubuntu 16 ici).
Puis essayez de vous connecter avec vos références habituelles, il devrait fonctionner.
Nmap rapport :
Maintenant, nous allons transférer la nouvelle SSH sur le port 22. Je me suis connecté sur le port 33333 désactivé l'ancien service SSH & modification de la 33333 à 22 dans /opt/etc/sshd_config
Puis essayez de vous connecter avec vos références habituelles, il devrait fonctionner.
Nmap rapport :
Fonctionne comme un charme grand merci à @dszakal !!
OriginalL'auteur Erwan Clügairtz
Vous n'en avez pas besoin si vous utilisez Ubuntu LTS. Il semble que le Ubuntu Équipe de Sécurité pousse les patchs pour vous! Détail réponse:
Des outils comme Qualys et nmap ne sont pas intelligentes pour comprendre cela. Vous pouvez visiter le paquet ubuntu changelog page [Pour mon cas, le package openssh-server6.6] pour voir si le patch a été fourni.
Au max pour être sûr, il suffit de faire la commande sudo apt-get install --only-mise à niveau openssh-server pour obtenir des correctifs.
OriginalL'auteur Pikesh Prasoon
Mis à jour pour la dernière utilisation:
OriginalL'auteur mrd