저는 debian distrib를 사용하여 Google Cloud Computing에서 웹사이트를 운영하고 있습니다. 최근 보안 감사를 실시한 결과 권장 사항 중 하나는 OpenSSH를 7.4에서 7.8 이상으로 업그레이드하는 것이었습니다. apt
전시
openssh-server/oldstable,now 1:7.4p1-10+deb9u6 amd64 [installed,upgradable to: 1:7.4p1-10+deb9u7]
적절한 업그레이드로 우리가 할 수 있는 최선의 방법은 약간 더 새로운 7.4 버전으로 업그레이드하는 것 같습니다. 7.8로 강제 설정할 수 있는 방법이 있나요? 아니면 새 커널이 필요합니까? 소스를 다운로드하고 컴파일하고 설치할 수 있지만 이로 인해 시스템의 다른 부분이 중단됩니까? 이곳은 생산 현장이므로 놀라움을 원하지 않습니다.
답변1
일반적으로 말하면, 실행 중인 안정적인 데비안 버전의 최신 버전을 사용해야 합니다. 이 릴리스에는 모든 보안 수정 사항이 적용됩니다. 이 경우 CVE-2018-15473은 Stretch 및 Buster의 최신 버전으로 업그레이드하여 수정되었습니다.
대부분의 Linux 배포판은 패키지를 최신 버전으로 업데이트하는 대신 보안 수정 사항을 최신 안정 버전으로 백포트하기 때문에 보안 취약성 스캐너는 오탐지를 표시하는 경우가 많습니다. 종종 최신 버전에는 주요 변경 사항이 있거나 호환되지 않는 동작이 있을 수 있으며 사용자는 안정적인 버전을 자동으로 업데이트하여 문제를 해결하는 것을 좋아하지 않습니다.
대부분의 경우 이러한 버전에는 외부 시스템에 노출되는 구별되는 버전 번호가 포함되어 있지 않습니다. 보안 관점에서 보고 버전 번호는 정보 유출로 인해 일반적으로 눈살을 찌푸리게 됩니다. 따라서 보안 감사에서 문제가 보고되면 발견된 취약점이 무엇인지 물어보고 해당 취약점을 해결하는 패치 버전을 실행하고 있음을 보여줄 준비를 해야 합니다. 이러한 보안 감사를 실행하는 회사는 업그레이드가 가장 쉬운 방법이기 때문에 업그레이드하라고 지시하며, 안전하지만 오래된 소프트웨어에서 문제를 발견하면 사람들은 자신의 서비스가 가치 있다고 생각하게 되지만 실제로 대기업에서는 패치된 배포 소프트웨어 패키지를 사용합니다.