jpe*_*zov 3 ubuntu ssh pci-dss
我一直在尝试在我们公司的 Web 服务器上升级 OpenSSH 以符合 PCI 规范。不过,我终其一生都无法弄清楚如何做到这一点。
我已经通过 SSH 尝试了以下命令(连同它们的输出):
# ssh -V
OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009
# sudo apt-get install openssh-server openssh-client
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
openssh-client is already the newest version.
The following packages were automatically installed and are no longer required:
[list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 72 not upgraded.
# apt-get install openssh-server
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
The following packages were automatically installed and are no longer required:
[list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 73 not upgraded.
*我删除了列表,以便更容易阅读。
我不确定这是否相关,但我也运行了 apt-get upgrade,似乎这个系统上没有定期更新(虽然我没有升级任何东西,以免它破坏以前的东西)。由于我在这份工作之前的系统管理员经验为零,我不知道发布该信息是否会损害任何内容,因此除非必要,否则我将不这样做。
需要注意的是,Debian、RedHat 等人会将安全修复程序向后移植到他们的软件包中,而实际上并未将软件完全升级到最新版本。这是为了保持其主要版本中的版本稳定性(即,如果您运行的是 RHEL 6.5,则您将运行 OpenSSH 5.3p1,即使 OpenSSH 6.4 当前可用)。
PCI 扫描可能只查看报告的版本号。您应该检查包更改日志以验证这些特定漏洞是否已得到解决(即,扫描标记了 CVE-xxxx 并且它影响了 5.4 版;包更改日志将说明该 CVE 的修复已在此类上向后移植,并且- 这样的日期到 5.3p1)。很可能,如果您是最新的,则无事可做。
你可以安装最新最好的 OpenSSH(或任何其他软件)以满足 PCI 要求。没有人会阻止你这样做。这种方法的问题在于,您可能必须承担保持自定义安装的软件升级的责任,可能是在构建自己的软件包方面(不过,使用 openssh,某处可能有一些 repo 会在软件包中包含最新版本) ,或者依靠一个比 Red Hat 或 Canonical 小得多的实体来不断推出最新的软件包。这种情况下往往会出现新的漏洞,除非你注意,否则你将开始落后。最好依靠负责保持最新状态的人,并确保有一个 QA 流程来证明没有任何问题。让 Red Hat、Canonical 等公司的人按照他们喜欢的方式完成他们的工作并应用他们的向后移植,然后只需在 PCI 扫描上加上星号即可。你真的不想维护自己的包。
从管理的角度来看,PCI 扫描器应该被视为一种工具,可以帮助您显示可能存在漏洞的位置;你对你的(有点生硬的)工具的结果所做的更多的是一个管理决策(即,如果这是内部决策,那么你只需在你自己的公司内做一个注释,无论扫描报告显示什么,这个问题都已解决;如果是供外部使用,您需要与相关方沟通该问题已经解决,并且您不会偏离 Ubuntu 包装,因为这是一个更糟糕的选择。)您可以比一般人更好地了解您的系统目的扫描仪。