当前位置: > Linux安全 >

Redis Centos镜像漏洞修复

时间:2021-01-06 17:43来源:linux.it.net.cn 作者:IT
Redis Centos镜像漏洞修复以及升级内核版本
linux内核介绍:https://www.cnblogs.com/still-smile/p/11597620.html

redis当前所有的Centos镜像默认自带的ssh 版本过低,所以会出现以下漏洞。

1 OpenSSH 命令注入漏洞(CVE-2020-15778)
2 OpenSSH 安全漏洞(CVE-2017-15906)
3 OpenSSH 用户枚举漏洞(CVE-2018-15473)
4 OpenSSH 用户枚举漏洞(CVE-2018-15919)
5 OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161)

解决方案:升级ssh的版本

首先在基础镜像内执行命令ssh -V 查看显示的版本 OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017。

如果想要解决该漏洞必须对openssh进行升级。至少需要升级到8.4才可以。因为镜像无法联网的原因我们首选利用rpm 包进行离线安装。

首先下载升级所需的rpm集合包 https://cikeblog.com/s/openssh8.4.zip 之后进行解压 unzip openssh8.4.zip
利用iso工具将zip包内的所有文件打包成iso文件上传到cas对应的服务器上。利用光驱进行挂载到对应的所需修改的虚拟机上。登陆虚拟机利用 mount /dev/cdrom /mnt/ 将iso文件挂载到虚拟机的/mnt路径下。准备安装。

安装方法1:

rpm -Uvh *.rpm
1
安装方法2:(推荐使用)因为会自动处理依赖关系。

yum install ./*.rpm
1
安装完毕后执行命令ssh -V会显示
OpenSSH_8.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017.
这个时候进行sshd服务的重启。在root权限下执行systemctl restart sshd

但是一般可能会出现问题。一般重新安装了openssh后一些默认的配置都会被修改。

cd /etc/ssh/
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
注意:升级后重启SSH可能出现以下错误:

It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key “/etc/ssh/ssh_host_ed25519_key”: bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available – exiting.
[FAILED]
sshd.service: control process exited, code=exited status=1
Failed to start SYSV: OpenSSH server daemon.
Unit sshd.service entered failed state.
sshd.service failed.
解决方案

chmod 0600 /etc/ssh/ssh_host_ed25519_key
service sshd restart
查看服务状态是否正常启动。 查看messages 日志中是否打印错误

注意,/etc/pam.d/sshd也文件会被覆盖,我们进行还原:
直接将原有的sshd文件copy过来

再次重启sshd服务。验证是否成功即可。若有错误根据messages中打印的错误进行分析。



(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容