我一直在尝试在我们公司的Web服务器上升级OpenSSH以实现PCI合规性.我不能为我的生活弄清楚如何做到这一点.
@H_403_2@我通过SSH尝试了以下命令(加上它们的输出):
# ssh -V OpenSSH_5.3p1 Debian-3ubuntu7,OpenSSL 0.9.8k 25 Mar 2009
# sudo apt-get install openssh-server openssh-client Reading package lists... Done Building dependency tree Reading state information... Done openssh-server is already the newest version. openssh-client is already the newest version. The following packages were automatically installed and are no longer required: [list removed due to length]* Use 'apt-get autoremove' to remove them. 0 upgraded,0 newly installed,0 to remove and 72 not upgraded.
# apt-get install openssh-server Reading package lists... Done Building dependency tree Reading state information... Done openssh-server is already the newest version. The following packages were automatically installed and are no longer required: [list removed due to length]* Use 'apt-get autoremove' to remove them. 0 upgraded,0 to remove and 73 not upgraded.@H_403_2@*我删除了列表,以便更容易阅读. @H_403_2@我不确定这是否相关,但我也运行了apt-get升级,看起来似乎没有在这个系统上定期更新(我没有升级任何东西,以免它破坏了之前的东西).由于我在这份工作之前没有系统管理经验,我不知道发布这些信息会不会造成任何损害,所以除非必要,否则我会拒绝这样做.
解决方法
需要注意的是,Debian,RedHat等人会将安全修复程序反向移植到他们的软件包中,而不会将软件完全升级到最新版本.这是为了在主要版本中保持版本稳定性(即,如果您运行的是RHEL 6.5,即使OpenSSH 6.4目前可用,您也将运行OpenSSH 5.3p1).
@H_403_2@PCI扫描可能只查看报告的版本号.您应该检查软件包更改日志以验证是否已解决这些特定漏洞(即,扫描会标记CVE-xxxx并影响版本5.4;软件包更改日志将说明该CVE的修复程序已在此类上进行了移植 – 这个日期到5.3p1).可能,如果你是最新的,那就无所事事了.
@H_403_2@您可以安装最新最好的OpenSSH(或任何其他软件)来满足PCI要求.没有人会阻止你这样做.这种方法的问题在于您可能必须承担保持自定义安装软件升级的责任,可能就构建您自己的软件包而言(尽管如此,使用openssh,可能会在某些地方使用最新版本的软件包)或者依靠Red Hat或Canonical的小得多的实体继续推出最新的软件包.在这种情况下往往会发生新的漏洞,除非你注意,否则你将开始落后.最好依靠那些工作来保持最新状态的人,并确保有一个QA流程来证明什么都不会破坏.让Red Hat,Canonical等人做他们的工作并按照他们的感觉应用他们的backports,然后在PCI扫描上加上星号.你真的不想维护自己的包.
@H_403_2@从管理的角度来看,PCI扫描仪应被视为一种工具,可帮助显示您可能存在漏洞的位置;你对你的(有点生硬的)工具的结果所做的更多是一个管理决策(即,如果这是内部的,那么你只需在你自己的公司内做一个注释,无论扫描报告显示什么,这个问题都是固定的;如果是外部使用,你需要与感兴趣的各方沟通,问题已经解决,并且你不会偏离Ubuntu包装,因为这是一个更糟糕的选择.)你可以比一般更好地了解你的系统目的扫描仪.
