一：漏洞分析
最近進(jìn)行l(wèi)inux系統(tǒng)安全加固分析，進(jìn)行漏洞掃描掃描分析，不掃不知道，一掃嚇一跳，linux系統(tǒng)服務(wù)器的
OPENSSH存在3大安全漏洞，祥如下：
1：OpenSSH GSSAPI 處理遠(yuǎn)端代碼執(zhí)行漏洞
漏洞分類 守護(hù)進(jìn)程類
危險(xiǎn)級別 高
影響平臺OpenSSH OpenSSH < 4.4
詳細(xì)描述OpenSSH 4.3 之前的portable 版本存在遠(yuǎn)端代碼執(zhí)行漏洞. 攻擊者可以利用race 無法處理特別制作
的signal handler 而導(dǎo)致阻斷服務(wù). 如果通過GSSAPI 認(rèn)證,攻擊者可以在系統(tǒng)上執(zhí)行任意代碼.
修補(bǔ)建議 以下措施進(jìn)行修補(bǔ)以降低威脅： 升級至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4
released ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
參考網(wǎng)址# MLIST:[openssh-unix-dev] 20060927 Announce: OpenSSH 4.4 released #
URL:http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2
2：OpenSSH GSSAPI認(rèn)證終止信息泄露漏洞

漏洞編號000a03fa
漏洞分類 守護(hù)進(jìn)程類
危險(xiǎn)級別 中
詳細(xì)描述OpenSSH portable 版本GSSAPI 認(rèn)證存在信息泄露漏洞. 遠(yuǎn)端攻擊者可以利用GSSAPI 認(rèn)證終止回傳
不同的錯(cuò)誤訊息和確認(rèn)usernames 非特定的平臺進(jìn)而攻擊,攻擊者可以獲得usernames 的信息.
修補(bǔ)建議 升級至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 released
http://www.openssh.com/txt/release-4.4
參考網(wǎng)址* BUGTRAQ:20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh-
server * URL:http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded
3：OpenSSH X連接會話劫持漏洞
漏洞分類 守護(hù)進(jìn)程類
危險(xiǎn)級別 中
影響平臺OpenSSH < 4.3p2
詳細(xì)描述 在通過啟用了X11轉(zhuǎn)發(fā)的SSH登錄時(shí)，sshd(8)沒有正確地處理無法綁定到IPv4端口但成功綁定到IPv6端
口的情況。在這種情況下，使用X11的設(shè)備即使沒有被sshd(8)綁定也會連接到IPv4端口，因此無法安全的進(jìn)行轉(zhuǎn)
發(fā)。 惡意用戶可以在未使用的IPv4端口（如tcp 6010端口）上監(jiān)聽X11連接。當(dāng)不知情的用戶登錄并創(chuàng)建X11轉(zhuǎn)
發(fā)時(shí)，惡意用戶可以捕獲所有通過端口發(fā)送的X11數(shù)據(jù)，這可能泄露敏感信息或允許以使用X11轉(zhuǎn)發(fā)用戶的權(quán)限執(zhí)
行命令。
修補(bǔ)建議 建議您采取以下措施進(jìn)行修補(bǔ)以降低威脅：OpenSSH已經(jīng)提供更新的下載地址：# OpenSSH
openssh-3.9p1-skip-used.patch http://cvs.fedora.redhat.com/viewcvs/rpms/openssh/devel/openssh-
3.9p1-
skip-used.patch?rev=1.1&view=markup
參考網(wǎng)址* BUGTRAQ:20080325 rPSA-2008-0120-1 gnome-ssh-askpass openssh openssh-client openssh-
server * URL:http://www.securityfocus.com/archive/1/archive/1/490054/100/0/threaded
#################################################################################
二：漏洞修復(fù)
我的修復(fù)步驟！
通過以上的統(tǒng)計(jì)分析，我的第一想法就是升級OPENSSH 堵住安全漏洞，下面是我的升級方法步驟：
1
wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-5.8p2.tar.gz
現(xiàn)在高版本OPENSSH安裝程序，現(xiàn)在最高版本是6.0，還是安全起見，不使用最新版本，我選擇5.8P2下載安裝。
2
tar xvf openssh-5.8p2.tar.gz #不解釋
3
cd openssh-5.8p2 # www.jb51.net 不解釋
4
./configure --prefix=/usr --sysconfdir=/etc/ssh
下載的是源碼包要編譯一下，注意我的編譯路徑，我是講OPENSSH安裝在，原來的路徑下，這樣后面安裝完成后
就不用在從新copy SSHD服務(wù)到/etc/init.d/下了！，可以根據(jù)實(shí)際情況定制安裝路徑。
5
make #不解釋
6
mv /etc/ssh/* /etc/sshbak/
由于我使安裝在原路徑下，所以我將就的配置文件挪了一下位置，不然make install 會報(bào)錯(cuò)！
7
make install #不解釋
8
/etc/init.d/sshd restart
這里注意安全，如果你前面編譯報(bào)錯(cuò)了，還強(qiáng)制安裝，SSHD服務(wù)可能就起不來了，后果你懂得！
9
chkconfig --add sshd #不解釋
10
chkconfig sshd on #不解釋
如果你的sshd服務(wù)正常啟動，那么恭喜你！
使用ssh -V 命令查看一下
[health@jumpserver-12 ~]$ ssh -V
OpenSSH_5.8p2, OpenSSL 1.0.0-fips 29 Mar 2010
已經(jīng)成功升級至5.8版本！
三：故障排查
故障排查:
./configure 之后報(bào)錯(cuò)報(bào)錯(cuò)排查，
安裝gcc-4.5.1.tar.bz2 和openssl-devel
摘自 kjh2007abc 的BLOG

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。