为了符合PCI标准,我需要在运行Ubuntu Hardy的服务器上运行openssh 5.8。 编辑/etc/apt/sources.list从natty安装openssh-server有太多未解决的依赖关系,我需要做一个完整的升级。
我有什么select?
您安装的SSH版本(大部分)不容易受到这些威胁 – 您的合规性扫描是错误的。
CVE-2008-5161:好的,有一个有趣的。 显然它不是固定在8.04 。
在这里 ,使用密码select缓解它:
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc 一致性扫描盲目地比较CVE列表和软件版本号,当你使用一个操作系统把稳定版本反向移植到新的主要版本的软件上时,它是毫无价值的。 你的第一步应该是确认你确实是脆弱的。
对于比4.7p1更新的Ubunty Hardy,没有预编译的OpenSSH软件包,所以你唯一的select就是自己编译源码。
OpenSSH项目有一个INSTALL文件logging程序。
话虽如此 – 如果您设法使您的系统无法访问,我不承担任何责任。 如果我真的必须这样做,那么我将启用telnetd(或使用控制台),删除已安装的openssh软件包(dpkg -l | grep openssh),然后通过源安装。
我不知道安装脚本(从源代码编译时)是否给你正确的初始化脚本来启动sshd,所以你也可以检查一下。
编辑所以,现在我花了一段时间来写上述所有内容后,似乎正在尝试升级OpenSSH,因为您认为自己的系统存在2008年以来的漏洞。安全修复程序通过Ubuntu安全性回购软件反向移植到Ubuntu系统,然后通过更新回购为您的具体版本(在这种情况下,hardy更新)。 Hardy的最新版本是4.7p1-8ubuntu3,于2011年3月2日发布。