Я использую CentOS 5.7, и мне нужно обновить OpenSSH до последней стабильной версии (проблемы с соответствием PCI). Однако самая последняя версия, доступная в репозитории CentOS yum, - 4.3p2. Как я могу обновиться до последней стабильной версии с помощью yum? Мне нужно настроить другой репозиторий?
Что касается исправлений безопасности, все готово; ваш сканер соответствия - тот, кто не прав.
Многие из этих сканеров обнаруживают уязвимости с помощью проверки строки версии (в данном случае проверки строки, которую OpenSSH отправляет подключающимся клиентам, включая ее версию), что часто приводит к ложным срабатываниям, когда эти сканеры предполагают «проблему X был исправлен в OpenSSH версии 5. в любом случае). Попробуйте изменить сервер Apache на ServerTokens Major и наблюдайте, как сканер загорается с кучей уязвимостей 2.0, независимо от того, на какой версии вы на самом деле.
Выясните, какие именно уязвимости вы обнаружите при сканировании, найдите их в журнале изменений RPM и отправьте поставщику сканирования версию, на которой вы работаете, в качестве доказательства того, что обнаружение сканирования является ложным. И эта ссылка, для хорошей меры.
Имейте в виду, что RedHat Сохраняет все исправления безопасности в стабильную версию SSH.
Итак, запустив yum update openssh воля обновите вас до последней стабильной версии с исправлениями для вашей операционной системы. Этого должно быть достаточно для выполнения любого разумного требования соответствия PCI, но может потребоваться обучение со стороны специалиста по соблюдению требований PCI.
Также посмотрите эти связанные вопросы для получения некоторых полезных советов: Оценка соответствия CentOS PCI
Каждая компания по сканированию PCI использует разные методы, но обычно вы можете оспорить результат как ложноположительный.
Сообщите им вашу текущую версию ОС, версию SSH и дату установки.
я использую
rpm -qa --last|grep "name"
Где name - это имя RPMS для интересующей вас услуги. В этом случае подойдет "ssh".
Отправьте им эти данные. Обычно этого достаточно в большинстве случаев.
OpenSSH 4.3p2 - единственная версия OpenSSH, официально поддерживаемая CentOS 4.7.
Конечно, вы могли бы самостоятельно собрать пакет для более новой версии OpenSSH, но я сомневаюсь, что это решит ваши «проблемы соответствия PCI».
Какие именно проблемы у вас возникают с OpenSSH 4.3p2?
Чтобы обеспечить соответствие PCI, мне недавно пришлось обновить openssh на centos7 (openssh6.6) до openssh7.5 (последняя версия). Я сослался на это блог усовершенствовать. Надеюсь, это поможет при обновлении centos7 для openssh.