我一直在试图在我们公司的networking服务器上升级OpenSSH以达到PCI标准。 我不能为我的生活弄清楚如何做到这一点。
我已经通过SSH尝试了以下命令(连同它们的输出):
# ssh -V OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009 # sudo apt-get install openssh-server openssh-client Reading package lists... Done Building dependency tree Reading state information... Done openssh-server is already the newest version. openssh-client is already the newest version. The following packages were automatically installed and are no longer required: [list removed due to length]* Use 'apt-get autoremove' to remove them. 0 upgraded, 0 newly installed, 0 to remove and 72 not upgraded.
# apt-get install openssh-server Reading package lists... Done Building dependency tree Reading state information... Done openssh-server is already the newest version. The following packages were automatically installed and are no longer required: [list removed due to length]* Use 'apt-get autoremove' to remove them. 0 upgraded, 0 newly installed, 0 to remove and 73 not upgraded.
*我删除了这个清单,这样可以更容易阅读。
我不确定这是否相关,但我也跑apt-get升级,似乎更新没有定期在这个系统上进行(我没有升级任何东西,以免它从以前的东西)。 由于我在这份工作之前没有系统pipe理员经验,所以我不知道发布这些信息是否会损害任何事情,所以我会拒绝这样做,除非有必要。
需要注意的是,像Debian,RedHat等人,将安全修补程序反向移植到他们的软件包中,而没有将软件完全升级到最新版本。 这是为了在主要版本中保持版本稳定性(即,如果您正在运行RHEL 6.5,即使OpenSSH 6.4当前可用,也将运行OpenSSH 5.3p1)。
PCI扫描可能只是查看正在报告的版本号。 您应该检查软件包更改日志以validation是否已解决这些特定的漏洞(例如,CVE-xxxx正在被扫描标记,并且影响了版本5.4;软件包更改日志将说明该CVE的修补程序已在此类这个date到5.3p1)。 可能的话,如果你是最新的,没有什么可做的。
您可以安装最新,最好的OpenSSH(或任何其他软件)来满足PCI要求。 没有人会阻止你这样做。 这种方法的问题是,你可能不得不承担保持你的自定义安装的软件升级的责任,可能在build立你自己的软件包方面(尽pipeopenssh可能有一些软件包会有最新版本的软件仓库) ,还是依靠一个小得多的实体,红帽或Canonical不断推出最新的软件包。 在这种情况下往往会发生新的漏洞,除非你注意,否则你会开始落后。 最好是依靠一个工作人员来保持最新状态,并确保有一个质量保证程序来certificate什么都不会中断。 让Red Hat,Canonical等人做他们的工作,按照他们感觉的方式应用他们的后端,然后在PCI扫描上加一个星号。 你真的不想维护你自己的软件包。
从pipe理angular度来看,PCI扫描器应该被看作是帮助显示可能存在漏洞的工具; 你对你的(有些钝的)工具的结果所做的更多的是pipe理决定(即,如果这是内部的,那么你只需在你自己的公司内记下这个问题是固定的,而不pipe扫描报告显示的是什么;如果是外部使用,则需要与有关方面沟通,说明问题已经解决,并且不会偏离Ubuntu包装,因为这是一个更糟糕的select。)您可以对系统有更好的了解,而不是一般的通用扫描仪。