2 votes

Onfire avatar

Ancienne version du serveur SSH fonctionnant après la mise à niveau

Demandé el 20 de Octobre, 2017
Quand la question a-t-elle été
4850 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un serveur Ubuntu exécutant la version 16.04, qui est utilisé pour un site web client. Le client a récemment fait réaliser un audit de sécurité et l'une des recommandations a été de mettre à jour notre version OpenSSH à au moins la version 7.4, mais la version préinstallée sur la 16.04 est la 7.2. J'ai essayé de simplement faire une mise à jour directe mais la 7.2 est la dernière version disponible, donc nous essayons maintenant d'installer manuellement la version 7.6.

J'ai téléchargé et installé la version 7.6 correctement, et elle semble fonctionner correctement :

sshd 
OpenSSH_7.6p1, OpenSSL 1.0.2g  1 Mar 2016

Cependant, lors d'une connexion à distance ou même en exécutant simplement ssh -v localhost cela se connecte en utilisant l'ancienne version 7.2 :

root@server-new:~# ssh -v localhost
...
debug1: Local version string SSH-2.0-OpenSSH_7.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.2p2 
Ubuntu-4ubuntu2.2
debug1: match: OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 pat OpenSSH* compat 0x04000000
...

C'est essentiellement le processus auquel j'ai procédé, sauf avec le package 7.6 : https://gist.github.com/techgaun/df66d37379df37838482c4c3470bc48e

J'ai remarqué que le répertoire d'installation est maintenant différent, c'était /usr/sbin/ssh mais c'est maintenant /usr/local/sbin/ssh

root@server-new:~# which sshd
/usr/local/sbin/sshd
root@server-new:~# which ssh
/usr/local/bin/ssh

J'ai mis à jour à la fois /etc/init.d/ssh et /etc/init/ssh.conf pour utiliser le nouveau chemin, mais même après un redémarrage cela ne semble pas faire beaucoup de différence.

Qu'est-ce que nous faisons de travers ? Je suppose que nous devons simplement spécifier d'utiliser l'installation SSH au démarrage mais je ne vois pas comment.

J'ai trouvé plein d'autres discussions mais rien ne semble aider, par exemple :

https://serverfault.com/questions/310384/problem-with-upgrading-openssh-to-the-latest-version

Update OpenSSH Server in 12.04?

https://forums.cpanel.net/threads/whats-it-take-to-update-to-openssh-5-1-or-higher.170818/

Merci

Demandé el 20 de Octobre, 2017 par Onfire

Réponse

Trop de publicités?

5voto

Mattio avatar
Mattio Points 817

C'est le piège logique classique je-veux-LTS-mais-je-ne-veux-pas-LTS.

Un des buts d'un Ubuntu LTS est de vous offrir de la stabilité. Ubuntu y parvient en ne incrémentant pas les versions logicielles. Lorsque vous décidez d'utiliser un LTS, vous vous enfermez dans ces versions sans changements pendant deux ans.

(Si ce n'est pas ce que vous voulez, alors n'utilisez pas un LTS.)

MAIS il y a une petite exception : les mises à jour de sécurité. L'équipe de sécurité d'Ubuntu émet des mises à jour de sécurité sans passer à la prochaine version amont (ce qui violerait bien sûr le LTS). Ils corrigent plutôt le code source.

Donc, lorsque qu'une vulnérabilité dans OpenSSH 7.2 est découverte, deux choses se produisent :

  1. Le site web d'OpenSSH annonce que tout le monde devrait immédiatement passer à la nouvelle version OpenSSH 7.3

  2. Cependant, l'équipe de sécurité d'Ubuntu vous propose OpenSSH 7.2p2-4ubuntu2.2.

D'un point de vue sécurité, ils sont identiques - toutes les mêmes vulnérabilités sont corrigées dans les deux. Votre auditeur en sécurité ne le réalise tout simplement pas.

Vous avez trois choix :

  1. Rester avec le LTS : Vous pouvez réaliser que l'auditeur est simplement mal informé, faire un peu de recherche sur l'équipe de sécurité d'Ubuntu, et finalement ne rien faire...car aucune action de sécurité supplémentaire n'est en réalité nécessaire.

  2. Suivre l'auditeur : Vous pouvez abandonner le LTS pour les versions normales d'Ubuntu publiées tous les 6 mois. Cela peut signifier beaucoup de travail supplémentaire tous les six mois si une mise à niveau change votre flux de travail ou vos systèmes de production.

  3. Construire un système Frankenstein : C'est le pire des deux mondes, plus risqué et plus difficile à maintenir. Vous pouvez essayer d'installer de nouvelles versions d'OpenSSH depuis des PPAs ou de nouvelles versions d'Ubuntu sur votre ancien LTS. Cela peut casser votre système, ou non. Cela peut casser les futures mises à jour et les mises à jour de sécurité, ou non.

Répondu el 20 de Octobre, 2017 par Mattio (817 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X