mise à niveau openSSH 7.2 p dans ubuntu 14.04

J'ai un serveur sous Ubuntu 14.04, mais j'ai un problème avec les exigences de PCI. J'ai installé dans mon serveur OpenSSH 6.6p1, puis je l'ai mise à niveau à la version 7.2 p, de compiler le code avec make et make install directement à partir des référentiels de OpenSSH, mais il semble que quelque chose est cassé parce que je continue d'obtenir de l'ancienne version après je vérifie dpkg -l openssh\*:

ii openssh-client 1:6.6p1-2ubunt amd64 secure shell (SSH) client, 
ii openssh-server 1:6.6p1-2ubunt amd64 secure shell (SSH) server,
ii openssh-sftp-serve 1:6.6p1-2ubunt amd64 secure shell (SSH) sftp server

Et PCI scanner continue de signaler le même problème sur que j'ai installer la dernière version d'OpenSSH.

C'est la CVI Id de la question: CVE-2016-3115

La raison dpkg affiche toujours l'ancienne version, c'est qu'il ne sait pas sur celui que vous avez compilé à partir des sources.
J'ai mis à jour ma version d'Ubuntu vers la dernière version LTS afin de résoudre ce problème.

OriginalL'auteur Rigoberto Giraldo Carmona | 2016-04-06

  1. 9

    J'ai besoin d'installer la dernière version d'OpenSSH, mais je voulais l'installer via un package au lieu de les compiler à partir des sources.

    sudo apt-add-repository 'deb http://archive.ubuntu.com/ubuntu yakkety main universe multiverse'
sudo apt-get update
sudo apt-get install openssh-server=1:7.3p1-1

    Il a travaillé pour moi. (Techniquement, seuls principal et de l'univers ont été nécessaires ici)

    $ ssh -V
OpenSSH_7.3p1 Ubuntu-1, OpenSSL 1.0.2g  1 Mar 2016

    Modifier (2017-10-04): Cette réponse a été de recevoir un peu d'attention ces derniers temps et peut-être hors de date. Rappelez-vous seulement main et universe ont été nécessaires à partir de cela, et j'ai précisément voulu installer ce comme un paquet au lieu de les compiler à partir des sources. Merci de faire attention à taper aléatoire commandes à partir de l'internet, peu importe comment bien intentionnés à l'étranger (en l'occurrence moi)!

    Ce sera également la cause de l'apt pour souhaitez mettre à niveau beaucoup d'autres paquets, trop, non? Peut-être le référentiel doit être désactivé une fois que vous avez votre nouvelle version ssh. Mais alors, comment obtenir des mises à jour de sécurité?
    Mot de prudence: l'ajout de ce nouveau référentiel d'apt causé apt pour installer et supprimer tout un tas de paquets, qui finit murer mon installation d'Ubuntu à l'inutile (pas de wifi, pas de gestionnaire de fenêtre, impossible de monter les disques durs externes, etc).
    viens de faire un sudo apt-add-repository --remove 'deb archive.ubuntu.com/ubuntu piquante principal universe multiverse " après l'installation de ssh et il doit être sûr.
    cela fonctionne pour moi sur 14.04: gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e
    cette solution n'a pas fonctionné pour moi sur la 14.04. il a ajouté cette ligne "deb archive.ubuntu.com/ubuntu yakkety principal universe multiverse" à /etc/apt/sources.liste des pauses apt-get update. j'ai supprimé manuellement et maintenant je peux le faire "apt-get update", mais toujours pas de ssh de mise à niveau a été fait.

    OriginalL'auteur flanger001

  2. 5

    Testé sur Ubuntu 16.04

    mises à niveau ssh-client à la dernière version.
    les mises à jour de beaucoup d'autres choses! 

    sudo apt-add-repository 'deb http://old-releases.ubuntu.com/ubuntu yakkety main universe multiverse'
sudo apt-get update
sudo apt-get install openssh-server=1:7.4p1-10

    supprimer référentiel qui a été ajoutée supplémentaire mises à jour ne se font pas plus tard: 

    sudo apt-add-repository --remove 'deb http://old-releases.ubuntu.com/ubuntu yakkety main'
sudo apt-get update

    note:
    Pour 17.04 changement yakety à zesty (non testé)

    A parfaitement fonctionné, même à l'intérieur de sous-système Windows pour Linux Ubuntu. Ce doit être la accepté de répondre. Vous avez oublié un guillemet simple après main dans la suppression de l'étape.
    citation ajouté. merci @phpguru

    OriginalL'auteur oneklc

  3. 3

    Il y a deux réponses déjà mentionner le recompiler. La façon dont ils suggèrent qu'il peut ne pas sembler être une option sûre si vous êtes déjà connecté en ssh. Aussi, ils ne parviennent pas à suggérer quoi faire avec OpenSSL 1.0.2 vs 1.1.0 question en tant que par défaut ./configurer trouve sur Ubuntu 14.04 LTS la 1.1.0 version de OpenSSL. Pour patch OpenSSL 7.7 sources de travailler avec OpenSSL 1.1.0 voici un patch:

    http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html

    wget http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
tar -zxvf openssh-7.7p1.tar.gz
cd openssh-7.7p1
wget http://www.linuxfromscratch.org/patches/blfs/svn/openssh-7.7p1-openssl-1.1.0-1.patch
patch -Np1 -i ./openssh-7.7p1-openssl-1.1.0-1.patch

    Et voici l'astuce: vous pouvez avoir DEUX disques hybrides ssd afin de ne pas perdre la connexion en cours. Nous allons installer cette autre sshd /opt et sa configuration sera dans /opt/etc

    ./configure --prefix=/opt
make ## in the end make will write where it will install, double check everything will go to /opt
make install
nano /opt/etc/ssh/sshd_config

    Ici de modifier le port, prendre à partir de 22, par exemple, 1888 (assurez-vous que le port est transmis/ouvert/etc)

    Et maintenant, vous pouvez commencer la nouvelle sshd

    /opt/sbin/sshd

    Assurez-vous de redémarrer quelque chose (par exemple systemd) va démarrer cette autre ssh trop.

    Les 2 disques hybrides ssd sont maintenant en cours d'exécution simultanément. Vous pouvez essayer de vous connecter avec ce nouvellement construit. Lorsque vous avez terminé, vous pouvez supprimer l'ancienne et de la mise à jour de sécurité manque openssh6.6 d'apt, ou au moins arrêter le démon et retirez le démon de démarrage.

    Et vous êtes un pas de plus vers un système sécurisé.

    OriginalL'auteur dszakal

  4. 0

    C'est une modification de @dszakal commentaire car je n'ai pas exactement la même choses à faire (Ubuntu 16 ici).

    cd
wget http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
tar -zxvf openssh-7.7p1.tar.gz
cd openssh-7.7p1
wget http://www.linuxfromscratch.org/patches/blfs/svn/openssh-7.7p1-openssl-1.1.0-1.patch
patch -Np1 -i ./openssh-7.7p1-openssl-1.1.0-1.patch
./configure --prefix=/opt
make
sudo make install
cp ~/openssh-7.7p1/sshd_config /opt/etc/
cp ~/openssh-7.7p1/ssh_config /opt/etc/

sudo nano /opt/etc/sshd_config

# Uncomment the lines I wrote below
---------------------------------------------
Port 33333 # You can change the port here
AddressFamily any
ListenAddress 0.0.0.0
ListenAddress ::

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

PasswordAuthentication yes
PermitEmptyPasswords no
---------------------------------------------

# Then launch the service
sudo /opt/sbin/sshd

    Puis essayez de vous connecter avec vos références habituelles, il devrait fonctionner.

    Nmap rapport :

    PORT      STATE SERVICE VERSION
33333/tcp open  ssh     OpenSSH 7.7 (protocol 2.0)

    Maintenant, nous allons transférer la nouvelle SSH sur le port 22. Je me suis connecté sur le port 33333 désactivé l'ancien service SSH & modification de la 33333 à 22 dans /opt/etc/sshd_config

    sudo service ssh stop
sudo nano /opt/etc/sshd_config
Port 22

# Then re-launch the service
sudo /opt/sbin/sshd

    Puis essayez de vous connecter avec vos références habituelles, il devrait fonctionner.

    Nmap rapport :

    PORT      STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.7 (protocol 2.0)

    Fonctionne comme un charme grand merci à @dszakal !!

    OriginalL'auteur Erwan Clügairtz

  5. 0

    Vous n'en avez pas besoin si vous utilisez Ubuntu LTS. Il semble que le Ubuntu Équipe de Sécurité pousse les patchs pour vous! Détail réponse:

    Des outils comme Qualys et nmap ne sont pas intelligentes pour comprendre cela. Vous pouvez visiter le paquet ubuntu changelog page [Pour mon cas, le package openssh-server6.6] pour voir si le patch a été fourni.

    Au max pour être sûr, il suffit de faire la commande sudo apt-get install --only-mise à niveau openssh-server pour obtenir des correctifs.

    OriginalL'auteur Pikesh Prasoon

  6. -5

    Mis à jour pour la dernière utilisation:

    wget http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz
tar -zxvf openssh-7.5p1.tar.gz
cd openssh-7.5p1
./configure
make
sudo make install

    OriginalL'auteur mrd