通过yum更新OpenSSH到最新的稳定版本

就安全性问题而言，你们全都定下来了。 您的合规性扫描程序是错误的。

很多这些扫描器通过检查版本string（在这种情况下，检查OpenSSH发送到连接客户端的string，包括其版本）来检测漏洞，当这些扫描器假定“问题X在OpenSSH版本5.whatever中修复）尝试改变一个Apache服务器到ServerTokens Major并且观察扫描器点亮了一堆2.0漏洞，不pipe你实际上是什么版本。

找出扫描认为你有什么漏洞，在RPM的更新日志中find它们，然后向扫描供应商发送你正在使用的版本，以certificate扫描的检测结果是误报。 而这个环节 ，好的措施。

请记住，RedHat将所有安全修补程序Backport到它的稳定版本的SSH中。

所以，运行yum update openssh 将会使你的操作系统更新到最新的，稳定的补丁版本。 对于任何符合PCI要求的合规要求，这应该足够好，但可能需要部分PCI合规官员接受培训。

有关一些有用的提示，请参阅以下相关问题： CentOS PCI合规性评估

每个PCI扫描公司都有不同的方法，但是通常你可以将结果视为假阳性。

为他们提供您当前的操作系统版本，SSH版本以及安装时间。

我用

 rpm -qa --last|grep "name" 

其中name是您感兴趣的服务的rpms的名称。 在这种情况下，“ssh”将会执行。

向他们发送这些数据。 在大多数情况下这通常是足够的。

OpenSSH 4.3p2是CentOS 4.7正式支持的OpenSSH的唯一版本。

当然，你可以自己构build一个更新版本的OpenSSH包，但是我怀疑这会解决你的“PCI符合性问题”。

你对OpenSSH 4.3p2有什么问题？

要有PCI合规性，我不得不最近在centos7（openssh6.6）上升级openssh到openssh7.5（最新版本）。 我提到这个博客升级。 希望这有助于openssh的centos7升级。