저는 Red Hat Enterprise Linux 서버(7.5 x86_64)를 가지고 있습니다. OpenSSH 버전 7.4가 있습니다. 보안상의 이유로 더 높은 버전으로 업그레이드하라는 요청을 받았습니다: Nessus 성명OpenSSH를 7.4에서 7.6 이상으로 업그레이드해야 합니다.. 그러나 Red Hat 소프트웨어 및 다운로드에는 최신 패키지 RPM이 없습니다.
최신 OpenSSH 패키지를 어디서 구할 수 있는지에 대한 몇 가지 단서를 찾았습니다. 내가 찾은이 링크그런데 어떻게 업그레이드하고 이 사이트를 신뢰해야 할지 모르겠습니다. 업그레이드할 때 SSH 및 기타 구성을 수정하고 싶지 않습니다.
링크를 찾았지만 작동하지 않았습니다.이것.
을 사용하지 않고 어떻게 하는지 알고 싶습니다 yum
.
답변1
RHEL 7은 OpenSSH 7.4p1 및 보안 문제를 해결하는 데 필요한 모든 패치와 함께 제공됩니다. RHEL 7은 2024년까지(또는 연장 지원 계약을 통해 그 이상) 완전히 지원됩니다.
이는 OpenSSH 버전의 알려진 모든 취약점이 수정되었으며 앞으로 새로 발견된 취약점도 수정될 것임을 의미합니다. 취약점을 방지하기 위해 최신 버전의 OpenSSH로 업그레이드할 필요가 없습니다.
이는 지원되는 배포판을 사용할 때 중요한 점 중 하나입니다. 시스템을 최신 상태로 유지하는 한 게시자에게 업스트림 취약점을 처리해 줄 것을 요청할 수 있습니다.
7.4 이후 OpenSSH 버전으로 업그레이드하려면 RHEL 8(현재 OpenSSH 7.8 베타 버전)로 업그레이드하거나 RHEL 7용으로 직접 빌드해야 합니다(향후 취약성에 대한 지원을 가정해야 함).
답변2
그러나 업그레이드는 쓸모가 없습니다.
여전히 다음과 같이 말합니다.
Weak SSH Key Exchange Algorithms Supported
diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
Weak SSH Encryption Algorithms Supported
3des-cbc, blowfish-cbc, cast128-cbc
Weak SSH Hashing Algorithms Supported
hmac-sha1, [email protected], [email protected]
Remote Access Service Detected.
제가 찾은 유일한 해결책은 포트를 차단하는 것인데, SSH를 사용하려면 포트를 차단 해제해야 하기 때문에 이것이 귀찮습니다.
답변3
SSH 구성 파일을 수정하여 이러한 취약한 키 교환 알고리즘, 암호화 알고리즘 및 해시를 사용하지 않도록 강제할 수 있습니다. 저도 같은 문제가 있었고 Nessus 스캔에서도 같은 결과가 나왔습니다.
sshd_config
여기에 있는 파일을 편집/etc/ssh/sshd_config
하고 구성 파일 어딘가에 다음 텍스트 블록을 입력하십시오.# Ciphers and keying # If undefined, the default MACs, ciphers and # key exchange algorithms are exploitable MACs hmac-sha2-256,hmac-sha2-512 Ciphers aes128-ctr,aes256-ctr KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521 #RekeyLimit default none
- 그런 다음 다시 시작해야 합니다
ssh
./bin/systemctl restart sshd.service