我正在运行 CentOS 5.7,需要将 OpenSSH 升级到最新稳定版本(PCI 合规性问题)。但是,通过 CentOS yum 存储库提供的最新版本是 4.3p2。如何使用 yum 更新到最新稳定版本?我是否应该设置其他存储库?
答案1
就安全修复而言,您已一切就绪;但您的合规性扫描程序却是错误的。
许多扫描器通过检查版本字符串(在本例中,检查 OpenSSH 发送给连接客户端的字符串,包括其版本)来检测漏洞,当这些扫描器假设“问题 X 已在 OpenSSH 版本 5 中修复。不管怎样)。尝试将 Apache 服务器更改为ServerTokens Major2.0 版本,然后观察扫描器是否显示一堆漏洞,无论您实际使用的是哪个版本。
弄清楚扫描认为您存在哪些漏洞,在 RPM 的更改日志中找到它们,然后将您所使用的版本发送给扫描供应商,以证明扫描检测是误报。然后此链接,以达到良好的效果。
答案2
请记住,RedHat反向移植所有安全修复进入其稳定版本的 SSH。
因此,运行yum update openssh 将要将操作系统更新到最新、稳定、已打补丁的版本。这对于任何合理的 PCI 合规性要求来说应该足够了,但可能需要对 PCI 合规性官员进行培训。
另请参阅相关问题以获取一些有用的提示:CentOS PCI 合规性评估
答案3
每个 PCI 扫描公司都有不同的方法,但通常您可以将结果视为误报。
向他们提供您当前的操作系统版本、SSH 版本以及安装时间。
我用
rpm -qa --last|grep "name"
其中 name 是您感兴趣的服务的 rpm 名称。在本例中,“ssh” 即可。
向他们发送这些数据。在大多数情况下,这通常就足够了。
答案4
为了符合 PCI 要求,我最近必须将 centos7(openssh6.6)上的 openssh 升级到 openssh7.5(最新版本)。我参考了此博客升级。希望这有助于 centos7 升级到 openssh。