针对 OpenSSH CVE-2024-6387 漏洞的升级

漏洞说明

总而言之,该漏洞影响非常大。

升级 OpenSSH 修复漏洞

可以使用以下方法编译安装:

# 安装编译依赖
sudo apt-get update
sudo apt-get install -y build-essential zlib1g-dev libssl-dev

# 下载指定版本源码
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

# 解压并进入目录
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1

# 编译和安装
./configure
make
sudo make install

# 启动并检查安装
sudo systemctl restart ssh
ssh -V

下面的代码与上面一致,只是方便一行执行:

sudo apt-get update && sudo apt-get install -y build-essential zlib1g-dev libssl-dev && wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz && tar -xzf openssh-9.8p1.tar.gz && cd openssh-9.8p1 && ./configure && make && sudo make install && sudo systemctl restart ssh && ssh -V

输出:

$ sshd -V
OpenSSH_9.8p1, OpenSSL 1.1.1f  31 Mar 2020

以上参考:linux.do/t/topic/124761/3

安装 fail2ban

本次攻击,如服务器上已安装 fail2ban ,会被拦截。所以装个 fail2ban 是好习惯。

Fail2Ban 是一个用于 Linux 服务器的安全工具,主要用于防止暴力破解攻击。它通过监控服务器上的日志文件(如 SSH、Web 服务器和邮件服务器的日志)来检测重复的登录失败尝试,并自动禁止显示可疑行为的 IP 地址一定时间。通过这种方式,Fail2Ban 能够减少服务器被成功攻击的风险,从而提高服务器的安全性。此工具可以配置为与多种服务一起使用,以增强服务器的整体安全性。

Fail2Ban 在默认安装后通常已经开启了对 SSH(通过 sshd 服务)的暴力破解保护。它通过监控 SSH 服务的日志文件来检测多次失败的登录尝试,并且可以自动阻止发起这些尝试的 IP 地址。这是通过名为 “sshd” 的监狱配置实现的,该配置默认是启用的,并且配置好了相关的过滤规则和行动策略。这有助于提高服务器对自动化登录尝试的抵御能力。对于大多数基本的安装,这个默认配置提供了一个很好的安全起点。

安装:

sudo apt update
sudo apt install fail2ban

开启:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

查看状态:

$ sudo fail2ban-client status
Status
|- Number of jail:        1
`- Jail list:        sshd   // 默认开启的 sshd 保护

扩展阅读: Fail2Ban 教程

本作品采用《CC 协议》,转载必须注明作者和本文链接
摈弃世俗浮躁,追求技术精湛
本帖由系统于 1周前 自动加精
Summer
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 8

感觉ubuntu 应该影响蛮大,我这边都是8.9的版本

2周前 评论
ljheisenberg 2周前
Alone88 (作者) 2周前

centos7.9本轮躺赢 :sweat_smile:

$ rpm -q openssh
openssh-7.4p1-21.el7.x86_64
2周前 评论

千万别自己编译。

直接apt 升级即可

2周前 评论

zlib需要升级吗 或者说那个版本可以用

2周前 评论

centOS OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 win~

2周前 评论

ubuntu躺枪,是8.9了。等官方升级了,我在通过源升级。

1周前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!