Aggiornamento di OpenSSH sul server web (Ubuntu) per la conformità PCI

Ho cercato di aggiornare OpenSSH per la conformità PCI al server web della nostra società. Non posso per la vita di me capire come farlo.

Ho provato i seguenti comandi tramite SSH (accoppiati con le loro uscite):

# ssh -V OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009 

 # sudo apt-get install openssh-server openssh-client Reading package lists... Done Building dependency tree Reading state information... Done openssh-server is already the newest version. openssh-client is already the newest version. The following packages were automatically installed and are no longer required: [list removed due to length]* Use 'apt-get autoremove' to remove them. 0 upgraded, 0 newly installed, 0 to remove and 72 not upgraded. 

 # apt-get install openssh-server Reading package lists... Done Building dependency tree Reading state information... Done openssh-server is already the newest version. The following packages were automatically installed and are no longer required: [list removed due to length]* Use 'apt-get autoremove' to remove them. 0 upgraded, 0 newly installed, 0 to remove and 73 not upgraded. 

* Ho rimosso l'elenco in modo che questo sarebbe più facile da leggere.

Non sono sicuro se questo è pertinente, ma ho anche eseguito aggiornamento apt-get e sembra che gli aggiornamenti non siano stati eseguiti regolarmente su questo sistema (non ho aggiornato nulla per non rompere qualcosa da prima). Poichè ho esperienza zero di sistema prima di questo lavoro, non so se la pubblicazione di tali informazioni comprometterebbe qualsiasi cosa, quindi non posso farlo se non necessario.

One Solution collect form web for “Aggiornamento di OpenSSH sul server web (Ubuntu) per la conformità PCI”

Appena notato, persone come Debian, RedHat, ecc., Riprenderanno le correzioni di sicurezza ai loro pacchetti, senza effettivamente aggiornare completamente il software alle ultime versioni. Questo è quello di mantenere la stabilità della versione nelle principali versioni (ad esempio, se si esegue RHEL 6.5, verrà eseguito OpenSSH 5.3p1, anche se OpenSSH 6.4 è attualmente disponibile).

La scansione PCI probabilmente sta solo guardando il numero di versione che viene riportto. Dovresti controllare il changelog del pacchetto per verificare che le vulnerabilità specifiche siano state indirizzate (cioè CVE-xxxx è contrassegnato dalla scansione e riguarda la versione 5.4; il changelog del pacchetto dirà che la correzione per quella CVE è stata backported su tali e – data a 5.3p1). Probabilmente, se sei aggiornato, non c'è niente da fare.

È ansible installare l'ultima e la più grande OpenSSH (o qualsiasi altro pezzo di software) per soddisfare i requisiti PCI. Nessuno ti impedirà di farlo. Il problema di questo approccio è che si potrebbe essere necessario assumere la responsabilità di mantenere aggiornato il software installato personalizzato, forse in termini di costruzione dei propri pacchetti (anche se con openssh, probabilmente c'è qualche repo in qualche parte che avrà versioni recenti nei pacchetti) , o basandosi su un'entity framework; molto minore che Red Hat o Canonical continuino a mettere in evidenza pacchetti aggiornati. Ciò che tende ad accadere in questo caso è che nuove vulnerabilità verranno fuori e, a less che non si presti attenzione, si inizierà a cadere dietro. È meglio fare affidamento su qualcuno il cui task è quello di tenere aggiornate le cose e di assicurarsi che esista un process QA per dimostrare che nulla si romperà. Lasciate che i cittadini a Red Hat, Canonical ecc., Facciano i loro lavori e applicino il loro backports come si sentono come se fossero così, e poi mettetegli un asterisco sulla scansione PCI. Non si desidera realmente mantenere i propri pacchetti.

Dal punto di vista del management, lo scanner PCI dovrebbe essere visto come uno strumento per aiutare a mostrare where si possono avere delle vulnerabilità; quello che fai con i risultati del tuo strumento (piuttosto sbarrato) è più di una decisione manageriale (cioè, se questo è interno, basta fare una nota all'interno della tua azienda che questo problema è fisso indipendentemente da ciò che mostra la relazione di scansione; se è per uso esterno, è necessario comunicare alle parti interessate che il problema è già stato risolto e che non si allontanerà dall'imballaggio di Ubuntu perché è un'opzione peggiore.) È ansible avere una migliore conoscenza dei sisthemes rispetto a un sistema generale scanner.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.