Я пытался обновить OpenSSH для соответствия PCI на веб-сервере нашей компании. Хотя я не могу понять, как это сделать.
Я попытался выполнить следующие команды через SSH (вместе с их выходными данными):
# ssh -V
OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009
# sudo apt-get install openssh-server openssh-client
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
openssh-client is already the newest version.
The following packages were automatically installed and are no longer required:
[list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 72 not upgraded.
# apt-get install openssh-server
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
The following packages were automatically installed and are no longer required:
[list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 73 not upgraded.
* Я удалил список, чтобы его было легче читать.
Я не уверен, актуально ли это, но я также запустил apt-get upgrade, и кажется, что обновления в этой системе не производились регулярно (хотя я ничего не обновлял, чтобы не сломалось что-то, что было раньше). Поскольку до этой работы у меня не было опыта системного администратора, я не знаю, может ли публикация этой информации поставить под угрозу что-либо, поэтому я воздержусь от этого, если в этом нет необходимости.
Следует отметить, что такие люди, как Debian, RedHat и т. Д., Будут переносить исправления безопасности в свои пакеты без полного обновления программного обеспечения до последних версий. Это сделано для поддержания стабильности версий в их основных выпусках (т.е. если вы используете RHEL 6.5, вы будете использовать OpenSSH 5.3p1, даже если OpenSSH 6.4 в настоящее время доступен).
Сканирование PCI, вероятно, смотрит только на номер версии, о которой сообщается. Вы должны проверить журнал изменений пакета, чтобы убедиться, что эти конкретные уязвимости были устранены (т. Е. CVE-xxxx помечается сканированием, и это влияет на версию 5.4; в журнале изменений пакета будет указано, что исправление для этой CVE было перенесено на такие-и -такая дата до 5.3п1). Скорее всего, если вы в курсе, делать нечего.
Вы жестяная банка установить последнюю версию OpenSSH (или любое другое программное обеспечение) для выполнения требований PCI. Никто не помешает вам это сделать. Проблема с этим подходом заключается в том, что вам, возможно, придется взять на себя ответственность за обновление вашего пользовательского установленного программного обеспечения, возможно, с точки зрения создания ваших собственных пакетов (хотя с openssh, вероятно, где-то есть репо, в котором будут последние версии в пакетах) , или полагаться на гораздо меньшую организацию, такую как Red Hat или Canonical, для выпуска обновленных пакетов. В этом случае обычно возникают новые уязвимости, и, если вы не обращаете на них внимания, вы начинаете отставать. Лучше полагаться на кого-то, чья работа заключается в том, чтобы держать вещи в курсе последних событий и убедиться, что существует процесс контроля качества, который показывает, что ничего не сломается. Позвольте сотрудникам Red Hat, Canonical и т. Д. Выполнять свою работу и применять свои бэкпорты так, как они хотят, а затем просто поставьте звездочку на сканирование PCI. Вы действительно не хочу поддерживать свои собственные пакеты.
С точки зрения управления сканер PCI следует рассматривать как инструмент, помогающий определить, где могут быть уязвимости; то, что вы делаете с результатами вашего (несколько грубоватого) инструмента, является скорее управленческим решением (то есть, если это внутреннее, то вы просто отмечаете в своей компании, что эта проблема устранена независимо от того, что показывает отчет о сканировании; если он предназначен для внешнего использования, вам необходимо сообщить заинтересованным сторонам, что проблема уже устранена, и что вы не собираетесь отклоняться от упаковки Ubuntu, потому что это худший вариант.) Вы можете лучше знать свои системы, чем обычный специалист. целевой сканер.