cdo*_*ner 5 ssh pci-dss centos7
TrustWave 在扫描 CentOS 方面变得更好了——我现在至少可以在提交争议时选择“我有向后移植的软件”。但是他们每个月都需要花费数小时的辛勤指向和点击他们的网站,从而提供出色的工作保障。
现在我的问题。CVE-2016-10009 尚未由 RHEL 人员修补,并且没有可用于 CentOS 的直接修复程序。在 TrustWave 对我最初争议的回应中,有以下说明:
由于这一发现会影响 PCI DSS 合规性,因此确实需要确认它已以某种方式得到解决。扫描报告中列出的要求是升级系统或利用提到的补偿控制(例如永远不要从受信任的白名单(运行时可配置)之外的路径加载 PKCS#11 模块)。
最新的 OpenSSH 补丁已修复向后移植到 OpenSSH 7.3,我不清楚是否会解决此特定漏洞。提到的“补偿控制”——只允许列入白名单的模块——正是 7.4 中的修复,所以这没有帮助,并且扫描报告没有列出任何内容。
因此,我正在寻找可以满足扫描仪的配置更改,但我找不到。 这是对这个问题的一个体面的解释。有什么我可以做的吗?完全禁用 PKCS#11?
这是一个漏洞,如果客户端已通过 ssh-agent 转发进行连接,并且以某种方式在客户端的文件系统上安装了恶意文件,则恶意 ssh 服务器可以攻击客户端。
我还认为 TrustWave 大大高估了这个问题的重要性。
也就是说,明显的解决方法是在/etc/ssh/sshd_config.
AllowAgentForwarding no
请记住,如果服务器受到威胁,攻击者可以将其删除,然后等待倒霉的管理员与其代理连接。所以这是一种荒谬的解决方法。