就安全修复而言,您已准备就绪;您的合规性扫描仪是错误的。
许多这些扫描器通过检查版本字符串(在这种情况下,检查 OpenSSH 发送到连接客户端的字符串,包括其版本)来进行漏洞检测,当这些扫描器假定“问题 X”时,这通常会导致误报已在 OpenSSH 版本 5.whatever 中修复。尝试将 Apache 服务器更改为ServerTokens Major并观察扫描仪出现一堆 2.0 漏洞,无论您实际使用的是哪个版本。
弄清楚扫描认为您有哪些漏洞,在 RPM 的更改日志中找到它们,并将您使用的版本发送给您的扫描供应商,作为扫描检测是误报的证据。而这个链接,很好的衡量标准。
请记住,RedHat 将所有安全修复程序向后移植到其稳定版本的 SSH。
因此,运行 ayum update openssh 会将您更新到适用于您的操作系统的最新、稳定、已打补丁的版本。这对于任何健全的 PCI 合规性要求来说应该足够了,但它可能需要对部分 PCI 合规官进行教育。
另请参阅此相关问题以获取一些有用的提示:CentOS PCI 合规性评估
| 归档时间: |
|
| 查看次数: |
23209 次 |
| 最近记录: |