Redis Centos镜像漏洞修复以及升级内核版本 linux内核介绍:https://www.cnblogs.com/still-smile/p/11597620.html redis当前所有的Centos镜像默认自带的ssh 版本过低,所以会出现以下漏洞。 1 OpenSSH 命令注入漏洞(CVE-2020-15778) 2 OpenSSH 安全漏洞(CVE-2017-15906) 3 OpenSSH 用户枚举漏洞(CVE-2018-15473) 4 OpenSSH 用户枚举漏洞(CVE-2018-15919) 5 OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161) 解决方案:升级ssh的版本 首先在基础镜像内执行命令ssh -V 查看显示的版本 OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017。 如果想要解决该漏洞必须对openssh进行升级。至少需要升级到8.4才可以。因为镜像无法联网的原因我们首选利用rpm 包进行离线安装。 首先下载升级所需的rpm集合包 https://cikeblog.com/s/openssh8.4.zip 之后进行解压 unzip openssh8.4.zip 利用iso工具将zip包内的所有文件打包成iso文件上传到cas对应的服务器上。利用光驱进行挂载到对应的所需修改的虚拟机上。登陆虚拟机利用 mount /dev/cdrom /mnt/ 将iso文件挂载到虚拟机的/mnt路径下。准备安装。 安装方法1: rpm -Uvh *.rpm 1 安装方法2:(推荐使用)因为会自动处理依赖关系。 yum install ./*.rpm 1 安装完毕后执行命令ssh -V会显示 OpenSSH_8.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017. 这个时候进行sshd服务的重启。在root权限下执行systemctl restart sshd 但是一般可能会出现问题。一般重新安装了openssh后一些默认的配置都会被修改。 cd /etc/ssh/ chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key 注意:升级后重启SSH可能出现以下错误: It is required that your private key files are NOT accessible by others. This private key will be ignored. Unable to load host key “/etc/ssh/ssh_host_ed25519_key”: bad permissions Unable to load host key: /etc/ssh/ssh_host_ed25519_key sshd: no hostkeys available – exiting. [FAILED] sshd.service: control process exited, code=exited status=1 Failed to start SYSV: OpenSSH server daemon. Unit sshd.service entered failed state. sshd.service failed. 解决方案 chmod 0600 /etc/ssh/ssh_host_ed25519_key service sshd restart 查看服务状态是否正常启动。 查看messages 日志中是否打印错误 注意,/etc/pam.d/sshd也文件会被覆盖,我们进行还原: 直接将原有的sshd文件copy过来 再次重启sshd服务。验证是否成功即可。若有错误根据messages中打印的错误进行分析。 (责任编辑:IT) |