正文

autossh(linux服务器ssh漏洞)

TM租号
TM租号 V管理员 /0 评论 /2 阅读
1203

一、ssh漏洞通知

autossh(linux服务器ssh漏洞)

0X01漏洞修复

漏洞:OpenSSH 安全限制绕过漏洞(CVE-2016-10012)

Openssh MaxAuthTries限制绕过漏洞(CVE-2015-5600)

漏洞原因:OpenSSH版本过低,需升级到最新版

受影响系统:

OpenSSH OpenSSH <= 7.3

不受影响系统:

OpenSSH OpenSSH 7.4

OpenSSH 是一组用于安全地访问远程计算机的连接工具。

OpenSSH < 7.4版本sshd服务在共享内存管理器边界检查实现上存在安全限制绕过漏洞,可使攻击者针对沙盒特权分离进程的特权监控进程执行安全攻击,获取提升的权限。

OpenSSH sshd后台程序没有检查键盘交互认证方法列表是否存在重复,远程攻击者利用此漏洞可绕过sshd_config文件内定义的MaxAuthTries限制,执行密码猜测攻击。此漏洞仅影响'KbdInteractiveAuthentication'配置为yes的版本。

二、漏洞修复

centos7不受影响,centos6全部需要升级

版本:openssh-8.0p1.tar.gz

具体过程如下:

1、下载依赖

#yum

yum -y install telnet-server* gcc openssl-devel zlib-devel pam-devel

2、开启telnet(留个门,万一出问题登录不进去了就尴尬了)

#enable telnet

cd /etc/xinetd.d/

mv telnet /tmp

wget ftp://ftpserver/pub/tc/telnet

mv /etc/securetty /etc/securetty.old

service xinetd start

service xinetd stop

service xinetd start

chkconfig xinetd on

3、备份ssh配置文件,移除低版本ssh

#display ssh

mv /etc/ssh /etc/ssh.old

rpm -qa | grep openssh

rpm -e --nodeps `rpm -qa | grep openssh`

4、主板安装ssh

#ssh install env

install -v -m700 -d /var/lib/sshd

chown -v root:sys /var/lib/sshd

groupadd -g 50 sshd

useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd

5、安装ssh

#install ssh

cd /root

wget ftp://ftpserver/pub/tc/openssh-8.0p1.tar.gz

tar -zxvf openssh-8.0p1.tar.gz

cd openssh-8.0p1/

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl --with-privsep-path=/var/lib/sshd

make && make install

6、结果检查

#configure and check

install -v -m755 contrib/ssh-copy-id /usr/bin

install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1

install -v -m755 -d /usr/share/doc/openssh-8.0p1

install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-8.0p1

ssh -V

7、设置自动启动

#auto enable

echo 'X11Forwarding yes' >> /etc/ssh/sshd_config

echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

cp -p contrib/redhat/sshd.init /etc/init.d/sshd

chmod +x /etc/init.d/sshd

chkconfig --add sshd

chkconfig sshd on

chkconfig --list sshd

nohup service sshd restart &

8、关闭telnet服务

#disble telnet

mv /etc/securetty.old /etc/securetty

chkconfig xinetd off

service xinetd stop

由于无法甄别是否为投稿用户创作以及文章的准确性,本站尊重并保护知识产权,根据《信息网络传播权保护条例》,如我们转载的作品侵犯了您的权利,请在一个月内通知我们,请将本侵权页面网址发送邮件到,我们会做删除处理。