我有一台 Red Hat Enterprise Linux 服务器 (7.5 x86_64)。我有 OpenSSH 版本 7.4。出于安全原因,我被要求将其升级到更高版本:Nessus 声明OpenSSH 应从 7.4 升级到 7.6 或更高版本。但是,Red Hat 软件和下载没有最新的软件包 RPM。
我找到了一些关于在哪里获取 OpenSSH 最新软件包的线索。我发现这个链接但是,我不知道如何升级它并信任这个网站。我不希望升级时修改 SSH 和其他配置。
我确实找到了链接,但它们没有用,例如这个。
我想知道如何在不使用yum
.
答案1
RHEL 7 附带 OpenSSH 7.4p1 以及修复安全问题所需的任何补丁。 RHEL 7 在 2024 年之前得到全面支持(如果延长支持合同,则支持时间更长)。
这意味着您的 OpenSSH 版本中的所有已知漏洞都已修复,并且将来发现的新发现的漏洞也将得到修复 — 无需升级到最新版本的 OpenSSH 来避免漏洞。
这是使用受支持的发行版的要点之一:您可以依靠您的发行商来为您处理上游漏洞(只要您保持系统最新)。
要升级到 7.4 之后的 OpenSSH 版本,您必须升级到 RHEL 8(目前处于测试阶段,具有 OpenSSH 7.8),或者为 RHEL 7 自行构建(并承担对未来漏洞的支持)。
答案2
不过升级没用。
它仍然说:
Weak SSH Key Exchange Algorithms Supported
diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
Weak SSH Encryption Algorithms Supported
3des-cbc, blowfish-cbc, cast128-cbc
Weak SSH Hashing Algorithms Supported
hmac-sha1, [email protected], [email protected]
Remote Access Service Detected.
我找到的唯一解决方案是阻止该端口,但这很烦人,因为我必须解除阻止才能使用 SSH。
答案3
您可以修改 SSH 配置文件以强制其不使用这些弱密钥交换算法、加密算法和哈希值。我也遇到过同样的问题,并且 Nessus 扫描的结果相同。
- 编辑
sshd_config
位于此处的文件:/etc/ssh/sshd_config
,然后在配置文件中的某处输入此文本块:# Ciphers and keying # If undefined, the default MACs, ciphers and # key exchange algorithms are exploitable MACs hmac-sha2-256,hmac-sha2-512 Ciphers aes128-ctr,aes256-ctr KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521 #RekeyLimit default none
- 然后你需要重新启动
ssh
:/bin/systemctl restart sshd.service