最近openssh爆出未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。
针对这一漏洞,应对方法有:
1、限制ssh登录ip
2、更新openssh到最新版本
注意:通常来说限制登录ip是必要手段,但是并不是所有服务器都有办法限制登录ip,因此升级openssh版本才是最优选择。
目前各操作系统的软件源均不支持openssh更新到最新版本,需要手动更新。重要提醒,请在更新前对相关系统和数据进行备份。
具体步骤如下:
1、安装必要的编译组件,请执行以下命令:
sudo apt-get install build-essential zlib1g-dev libssl-dev libpam0g-dev
2、下载Openssh最新版本的源代码,请执行以下命令:
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
3、解压、进入目录,请按照顺序执行以下命令:
tar zxvf openssh-9.8p1.tar.gz
cd openssh-9.8p1
4、进行编译,请按照顺序执行以下命令(注意权限问题):
./configure
make
make install 或者执行命令 sudo make install
5、重启ssh服务,请执行以下命令:
sudo systemctl restart ssh
6、验证Openssh的版本,请执行以下命令:
ssh -V
(注意:这里的V是大写)
如果有报错,请自行检查命令执行权限。