银河麒麟v10高级服务器系统升级 OpenSSH
你的当前版本:
OpenSSH_8.2p1
属于:
OpenSSH <= 9.7p1
因此从版本范围上看,在漏洞影响范围内。
但在麒麟/国产 Linux 中,还需要进一步确认:
是否已经做了 backport 安全修复。
因为很多国产系统不会升级主版本号,只会回补 CVE 修复。
一、先确认是否已修复(非常重要)
执行:
rpm -q --changelog openssh | grep -Ei "CVE|security"
以及:
rpm -q --changelog openssh-clients | tail -50
查看是否出现:
CVE-2024-6387
CVE-2024-6409
scp
command injection
或者类似:
backport security fix
二、确认安装包版本(重点)
执行:
rpm -qa | grep openssh
例如可能看到:
openssh-8.2p1-12.ky10
openssh-clients-8.2p1-12.ky10
关键是:
-12.ky10
这种发行版补丁号。
如果补丁号较老,一般说明未修复。
三、推荐修复方案(麒麟V10)
直接升级 openssh
执行:
yum clean all
yum makecache
yum update openssh openssh-clients openssh-server
或者:
dnf update openssh*
更新后再次查看:
ssh -V
以及:
rpm -qa | grep openssh
四、如果仓库没有更新包
说明:
-
厂商暂未发布补丁
-
或未启用安全源
可先执行:
yum repolist
确认:
-
update
-
updates
-
security
仓库是否启用。
五、临时缓解(生产环境建议立即做)
即使没法升级,也建议立即加固。
1. 禁止使用 scp(最有效)
因为漏洞点就在:
scp.c
建议:
-
全部改为
sftp -
或
rsync
例如:
rsync -avz /data user@host:/backup/
2. 限制 SSH 登录 IP
例如:
firewall-cmd --permanent --add-source=你的办公IP
firewall-cmd --reload
3. 禁止 root 登录
编辑:
vi /etc/ssh/sshd_config
修改:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
重启:
systemctl restart sshd
4. 开启 Fail2ban(推荐)
防暴力破解:
yum install fail2ban -y
六、该漏洞的真实风险
这个漏洞:
触发条件
通常需要:
-
用户主动执行 scp
-
连接恶意 SSH 服务端
或者:
-
中间人攻击
因此:
风险级别
| 场景 | 风险 |
|---|---|
| 内网隔离环境 | 中 |
| 可访问互联网 | 高 |
| 经常使用 scp 拉文件 | 高 |
| 自动化脚本大量 scp | 很高 |
七、生产环境推荐方案(你现在最适合)
建议你按下面顺序处理:
第一优先级
立即:
yum update openssh*
第二优先级
停用:
scp
改:
sftp / rsync
第三优先级
加固 sshd:
禁止root
密钥登录
限制IP
八、建议你再执行两个命令(可直接发我)
请把输出发我,我可以直接帮你判断:
rpm -qa | grep openssh
以及:
rpm -q --changelog openssh-clients | tail -30
我可以进一步帮你确认:
-
是否真的存在漏洞
-
是否已被厂商修复
-
是否只是“版本号误报”
-
给你最小化修复方案(不影响业务)