在 RHEL 上将 OpenSSH 7.4 升级到更高版本

在 RHEL 上将 OpenSSH 7.4 升级到更高版本

我有一台 Red Hat Enterprise Linux 服务器 (7.5 x86_64)。我有 OpenSSH 版本 7.4。出于安全原因,我被要求将其升级到更高版本:Nessus 声明OpenSSH 应从 7.4 升级到 7.6 或更高版本。但是,Red Hat 软件和下载没有最新的软件包 RPM。

我找到了一些关于在哪里获取 OpenSSH 最新软件包的线索。我发现这个链接但是,我不知道如何升级它并信任这个网站。我不希望升级时修改 SSH 和其他配置。

我确实找到了链接,但它们没有用,例如这个

我想知道如何在不使用yum.

答案1

RHEL 7 附带 OpenSSH 7.4p1 以及修复安全问题所需的任何补丁。 RHEL 7 在 2024 年之前得到全面支持(如果延长支持合同,则支持时间更长)。

这意味着您的 OpenSSH 版本中的所有已知漏洞都已修复,并且将来发现的新发现的漏洞也将得到修复 — 无需升级到最新版本的 OpenSSH 来避免漏洞。

这是使用受支持的发行版的要点之一:您可以依靠您的发行商来为您处理上游漏洞(只要您保持系统最新)。

要升级到 7.4 之后的 OpenSSH 版本,您必须升级到 RHEL 8(目前处于测试阶段,具有 OpenSSH 7.8),或者为 RHEL 7 自行构建(并承担对未来漏洞的支持)。

答案2

不过升级没用。

它仍然说:

Weak SSH Key Exchange Algorithms Supported
diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1

Weak SSH Encryption Algorithms Supported
3des-cbc, blowfish-cbc, cast128-cbc

Weak SSH Hashing Algorithms Supported
hmac-sha1, [email protected], [email protected]

Remote Access Service Detected.

我找到的唯一解决方案是阻止该端口,但这很烦人,因为我必须解除阻止才能使用 SSH。

答案3

您可以修改 SSH 配置文件以强制其不使用这些弱密钥交换算法、加密算法和哈希值。我也遇到过同样的问题,并且 Nessus 扫描的结果相同。

  • 编辑sshd_config位于此处的文件:/etc/ssh/sshd_config,然后在配置文件中的某处输入此文本块:
    # Ciphers and keying
    # If undefined, the default MACs, ciphers and
    # key exchange algorithms are exploitable
    MACs hmac-sha2-256,hmac-sha2-512
    Ciphers aes128-ctr,aes256-ctr
    KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
    #RekeyLimit default none
    
  • 然后你需要重新启动ssh
    /bin/systemctl restart sshd.service
    

相关内容