针对 OpenSSH CVE-2024-6387 漏洞的升级

漏洞说明

• regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security

• OpenSSH远程代码执行漏洞 (CVE-2024-6387) 安全风险通告

• 阿里云漏洞库

总而言之，该漏洞影响非常大。

升级 OpenSSH 修复漏洞

可以使用以下方法编译安装：

# 安装编译依赖
sudo apt-get update
sudo apt-get install -y build-essential zlib1g-dev libssl-dev

# 下载指定版本源码
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

# 解压并进入目录
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1

# 编译和安装
./configure
make
sudo make install

# 启动并检查安装
sudo systemctl restart ssh
ssh -V

下面的代码与上面一致，只是方便一行执行：

sudo apt-get update && sudo apt-get install -y build-essential zlib1g-dev libssl-dev && wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz && tar -xzf openssh-9.8p1.tar.gz && cd openssh-9.8p1 && ./configure && make && sudo make install && sudo systemctl restart ssh && ssh -V

输出：

$ sshd -V
OpenSSH_9.8p1, OpenSSL 1.1.1f  31 Mar 2020

以上参考：linux.do/t/topic/124761/3

安装 fail2ban

本次攻击，如服务器上已安装 fail2ban ，会被拦截。所以装个 fail2ban 是好习惯。

Fail2Ban 是一个用于 Linux 服务器的安全工具，主要用于防止暴力破解攻击。它通过监控服务器上的日志文件（如 SSH、Web 服务器和邮件服务器的日志）来检测重复的登录失败尝试，并自动禁止显示可疑行为的 IP 地址一定时间。通过这种方式，Fail2Ban 能够减少服务器被成功攻击的风险，从而提高服务器的安全性。此工具可以配置为与多种服务一起使用，以增强服务器的整体安全性。

Fail2Ban 在默认安装后通常已经开启了对 SSH（通过 sshd 服务）的暴力破解保护。它通过监控 SSH 服务的日志文件来检测多次失败的登录尝试，并且可以自动阻止发起这些尝试的 IP 地址。这是通过名为 “sshd” 的监狱配置实现的，该配置默认是启用的，并且配置好了相关的过滤规则和行动策略。这有助于提高服务器对自动化登录尝试的抵御能力。对于大多数基本的安装，这个默认配置提供了一个很好的安全起点。

安装：

sudo apt update
sudo apt install fail2ban

开启：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

查看状态：

$ sudo fail2ban-client status
Status
|- Number of jail:        1
`- Jail list:        sshd   // 默认开启的 sshd 保护

扩展阅读： Fail2Ban 教程

本作品采用《CC 协议》，转载必须注明作者和本文链接