CVE-2024-6387对OpenSSH的漏洞解决方案与防护措施

Maynor9962024-07-09 11:25

修补方案

1.升级 OpenSSH 到最新版本

要有效解决此漏洞,请升级到最新的 OpenSSH 版本,其中包括必要的修复程序。保持 OpenSSH 安装最新对于安全和防范已知漏洞至关重要。官方已发布最新版本修复该漏洞,请受影响客户将Openssh更新到安全版本:OpenSSH > 9.8p1。

一键升级脚本:

bash 复制代码 
#!/bin/bash

setenforce 0
# 安装依赖
yum -y install gcc gcc-c++ autoconf automake zlib zlib-devel openssl openssl-devel pcre pcre-devel

cd /opt/oneopenssh
# 下载并解压 OpenSSH 包
tar zxvfp openssh-9.8p1.tar.gz 
cd openssh-9.8p1

# 配置、编译并安装 OpenSSH
./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr
make && make install

# 配置 SSH
echo 'PermitRootLogin yes' >>/usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >>/usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >>/usr/local/openssh/etc/sshd_config

# 备份并替换系统默认的 SSH 配置和二进制文件
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
mv /usr/sbin/sshd /usr/sbin/sshd.bak
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
mv /usr/bin/ssh /usr/bin/ssh.bak
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
mv /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub.bak
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub

# 修改 systemd 配置并重启 SSH 服务
sed -i "s/Type\=notify/Type\=simple/g" /usr/lib/systemd/system/sshd.service
systemctl daemon-reload && systemctl restart sshd

# 验证是否升级成功
ssh -V

2.实施临时解决方法

如果无法立即升级,您可以通过在 OpenSSH 配置文件中将 LoginGraceTime 参数设置为 0 来降低风险。这样可以防止未经身份验证的会话保持打开状态并被利用。但是,如果所有连接插槽都被占用,此设置可能会导致拒绝服务。

bash 复制代码 
#!/bin/bash

# 检查是否具有root权限
if [ "$(id -u)" -ne 0 ]; then
    echo "此脚本需要root权限,请使用sudo或以root用户运行。"
    exit 1
fi

# 配置文件路径
SSHD_CONFIG="/etc/ssh/sshd_config"

# 备份当前配置文件
cp "$SSHD_CONFIG" "${SSHD_CONFIG}.bak"

# 更新LoginGraceTime参数
if grep -q "^LoginGraceTime" "$SSHD_CONFIG"; then
    sed -i "s/^LoginGraceTime.*/LoginGraceTime 0/" "$SSHD_CONFIG"
else
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG"
fi

# 重启SSH服务
systemctl restart sshd

# 验证是否成功
if systemctl status sshd | grep -q "active (running)"; then
    echo "SSH服务已成功重启,并且LoginGraceTime参数已设置为0。"
else
    echo "SSH服务重启失败,请检查配置文件和服务状态。"
fi

3.通过使用seccomp(安全计算模式)

添加额外的安全层,可以进一步减轻风险。seccomp限制了sshd进程可以执行的系统调用,从而限制了攻击面并减少了利用不安全函数(如syslog())的可能性。实现seccomp确保即使触发了漏洞,攻击者执行任意代码的能力也会显著受限。通过遵循这些缓解策略,您可以保护系统免受此漏洞的影响,并增强OpenSSH配置的整体安全性。

结论

CVE-2024-6387(又名 RegreSSHion)是基于 glibc 的 Linux 系统上 OpenSSH 服务器 (sshd) 中的信号处理程序争用条件漏洞。此漏洞的严重等级为"高"(CVSS 8.1),并可能导致具有 root 权限的未经身份验证的远程代码执行 (RCE)。

Reference:

1\]CVE-2024-6387: https://nvd.nist.gov/vuln/detail/CVE-2024-6387

相关推荐
tan180°34 分钟前
Boost搜索引擎 查找并去重(3)
linux·c++·后端·搜索引擎
yongui478341 小时前
CentOS系统如何查看当前内存容量
linux·运维·centos
xzq_java1 小时前
CentOS操作系统虚拟机安装以及连接工具下载和远程连接工具远程连接
linux·运维·centos
理智的煎蛋1 小时前
CentOS/Ubuntu安装显卡驱动与GPU压力测试
大数据·人工智能·ubuntu·centos·gpu算力
XingYuyu_Coder1 小时前
通过PXE的方式实现Ubuntu 24.04 自动安装
ubuntu·pxe
逐梦吧!旅行者2 小时前
Linux之环境变量(内容由浅入深,层层递进)
linux·运维
IOT-Power2 小时前
树莓派 Ubuntu 24.04 开机换源总结
linux·数据库·ubuntu
weixin_468466852 小时前
树莓派32位与64位系统安装teamviewer远程软件
linux·单片机·自动化·树莓派·远程控制·vnc·teamviewer
挨踢攻城2 小时前
Linux 应急响应实操 Checklist
linux·运维·linux命令·rhce·rhca·厦门微思网络·linux 应急响应
optiz3 小时前
细菌基因组genome二代测序数据分析
linux·运维·服务器
热门推荐
012025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!02UV安装并设置国内源032025年数学建模国赛C题超详细解题思路04不再让Windows更新!&Edge游戏助手卸载及关闭自动更新05A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程062025全国大学生数学建模C题保姆级思路模型(持续更新):NIPT 的时点选择与胎儿的异常判定07KGG转MP3工具|非KGM文件|解密音频08解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题09教你如何认证 Gemini 教育优惠的二次验证,薅个 1年的 Gemini Pro 会员10UV 工具安装与国内镜像源配置指南