LKD3588 Ubuntu20.04系统,如何规避以下漏洞
弱口令:发现设备当前服务(80)存在onwif弱口令漏洞。
高危漏洞:发现设备当前版本(22:8.2p1)存在漏洞,漏洞编号:CVE-2021-41617,漏洞名称:OpenSSH 安全漏洞。
超危漏洞:发现设备当前版本(22:8.2p1)存在漏洞,漏洞编号:CVE-2023-51385,漏洞名称:OpenSSH 安全漏洞。
弱口令处理
强密码应包括大小写字母、数字、特殊字符,并且长度至少为 12 个字符。
- 大小写字母:同时包含大写字母(A-Z)和小写字母(a-z)。
- 数字:至少包含一个数字(0-9)。
- 特殊字符:包含至少一个特殊字符,如 !@#$%^&*()_+-=[]{}|;':",./<>?。
漏洞处理
OpenSSH 9.6版本之前会有CVE-2023-51385漏洞
查看3588 OpenSSH版本:
neardi@LPA3588:~$ ssh -V
OpenSSH_8.2p1 Ubuntu-4ubuntu0.5, OpenSSL 1.1.1f 31 Mar
手动升级OpenSSH
下载OpenSSH
OpenSSH所有版本
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1
编译安装OpenSSH
sudo apt-get install gcc g++ clang make-guile build-essential //安装编译环境
./configure
make
sudo make install
确认新版本的 OpenSSH 安装位置:
检查新安装的 OpenSSH 二进制文件是否在正确的位置。例如,通常会安装在 /usr/local/bin/ 下。
/usr/local/bin/ssh -V
更新 PATH 环境变量:
如果新版本的 OpenSSH 安装在 /usr/local/bin/,可以通过更新 PATH 环境变量来确保系统优先使用这个路径下的程序。
编辑 ~/.bashrc 文件并添加以下内容:
export PATH="/usr/local/bin:$PATH"
刷新配置:
source ~/.bashrc
替换系统默认的 SSH 二进制文件:
将 /usr/bin/ssh 替换为新安装版本:
sudo mv /usr/bin/ssh /usr/bin/ssh.bak
sudo ln -s /usr/local/bin/ssh /usr/bin/ssh
重启SSH服务
sudo systemctl restart ssh
再次查看3588 OpenSSH版本:
neardi@LPA3588:~$ ssh -V
OpenSSH_9.8p1, OpenSSL 1.1.1f 31 Mar 2020
其他补充
- 禁用密码登录,只允许基于公钥的身份验证。
- 限制SSH的访问,通过防火墙设置只允许特定IP地址访问。
- 限制 root 登录。