如何解決伺服器ssh漏洞

Ⅰ openssh漏洞怎麼修復 windows

漏洞名稱：OpenSSH J-PAKE授權問題漏洞(CVE-2010-4478)
漏洞說明：OpenSSH是SSH協議組的實現，可為各種服務提供加密的認證傳輸，包括遠程shell訪問。當J-PAKE啟用時，OpenSSH 5.6及之前版本不能正確驗證J-PAKE協議中的公共參數。遠程攻擊者可以通過發送每一輪協議中的特製值繞過共享秘密信息的需求，並成功獲得認證。
解決方法：卸載系統的OpenSSH服務，安裝最新版本的OpenSSH。
解決方法步驟：

1.檢查openssl 版本在0.9.6以上
rpm –qa |grep openssl

2.檢查zlib版本在1.2.1.2以上
rpm –qa |grep zlib

3.使用root用戶登錄系統進入到/root 上傳openssh-6.6p1.tar.gz到該目錄下
Cp /mnt/openssh-6.6p1.tar.gz /root

4.備份原rpm啟動腳本到當前路徑下
cp /etc/init.d/sshd ./

5.停止ssh服務
/etc/init.d/sshd stop

6.刪除原rpm openssh軟體包
rpm -e openssh-server openssh-5.3p1 openssh-clients openssh-askpass --nodeps

7.解壓源碼補丁安裝包
tar -zxvf openssh 6.0p1.tar.gz

8.進入該目錄
cd /root/openssh6.0p1
9.配置yum
新建ISO掛載目錄
Mkdir /localyum
將ISO文件掛載到新建的目錄(如果是光碟：mount -a /dev/cdrom /localyum
Mount -o loop /mnt/rhel-server-6.5-x86_64-dvd.iso /localyum
新建repo文件
Vim /etc/yum.repo/localyum.repo
內容如下：

Ⅱ 如何制止OpenSSH漏洞

Michael Cobb：OpenSSH是一個免費的基於SSH協議的有關安全的網路層實用工具。可在絕大多數基於Linux的系統上使用，也可以在許多網路基礎設施設備上使用，它為遠程登錄和遠程文件傳輸等網路服務以多因素身份驗證方式提供加密服務。默認情況下，SSH伺服器允許在關閉連接前嘗試登錄6次，一台SSH客戶端只允許嘗試登錄3次。然而，研究員KingCope最新發現的身份認證漏洞允許攻擊者可在2分鍾內在一些鍵盤操作開啟的OpenSSH伺服器上不限次數的嘗試登錄。概念驗證利用代碼是一個非常簡單的命令：
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
雖然在兩分鍾內暴力破解強密碼不太可能會成功，不過對於內置SSH的設備來說暴力破解密碼仍是一個常見現象，這表明攻擊者仍然在尋找使用弱密碼的伺服器來謀求價值，特別是那些鍵盤操作認證已在FreeBSD上等默認啟用的時候。黑客不使用最常見的密碼，而是一些更特別的密碼來找到正確的，反正該認證漏洞允許他們隨便進行嘗試。
Red Hat、OpenBSD以及CentOS系統看上去可能不受該認證漏洞影響，不過FreeBSD以及Mac操作系統會受影響，因為它們在認證失敗時不會有任何延時。這雖然不是一個非常嚴重的漏洞，但在官方補丁和最佳實踐出來之前，管理員應該採取以下步驟避免漏洞被利用：
· 禁用密碼驗證
· 使用一個密鑰用於驗證，只有具有密鑰的電腦可以訪問面向Internet的伺服器
· 使用鍵長度至少2048節
· 使用強密碼來保護密鑰
· 減少20或30秒嘗試登錄期
· 限制嘗試登錄次數
· 不禁用登錄失敗時的延時
也可以用Fail2ban這類的工具來防止OpenSSH漏洞，減少錯誤認證的幾率以及更新防火牆規則，在指定時間內拒絕受懷疑的IP地址訪問

Ⅲ openssh漏洞怎麼修復

解決方法步驟：

1.檢查openssl 版本在0.9.6以上
rpm –qa |grep openssl

2.檢查zlib版本在1.2.1.2以上
rpm –qa |grep zlib

3.使用root用戶登錄系統進入到/root 上傳openssh-6.6p1.tar.gz到該目錄下
Cp /mnt/openssh-6.6p1.tar.gz /root

4.備份原rpm啟動腳本到當前路徑下
cp /etc/init.d/sshd ./

5.停止ssh服務
/etc/init.d/sshd stop

6.刪除原rpm openssh軟體包
rpm -e openssh-server openssh-5.3p1 openssh-clients openssh-askpass --nodeps

7.解壓源碼補丁安裝包
tar -zxvf openssh 6.0p1.tar.gz

8.進入該目錄
cd /root/openssh6.0p1
9.配置yum
新建ISO掛載目錄
Mkdir /localyum
將ISO文件掛載到新建的目錄(如果是光碟：mount -a /dev/cdrom /localyum
Mount -o loop /mnt/rhel-server-6.5-x86_64-dvd.iso /localyum
新建repo文件
Vim /etc/yum.repo/localyum.repo
內容如下：

Ⅳ openssh 遠程代碼執行漏洞 怎麼解決

遠程命令執行漏洞，用戶通過瀏覽器提交執行命令，由於伺服器端沒有針對執行函數做過濾，導致在沒有指定絕對路徑的情況下就執行命令，可能會允許攻擊者通過改變 $PATH 或程序執行環境的其他方面來執行一個惡意構造的代碼。 由於開發人員編寫源碼，沒有針對代碼中可執行的特殊函數入口做過濾，導致客戶端可以提交惡意構造語句提交，並交由伺服器端執行。命令注入攻擊中WEB伺服器沒有過濾類似system(),eval()，exec()等函數是該漏洞攻擊成功的最主要原因。 解決方案 1 假定所有輸入都是可疑的，嘗試對所有輸入提交可能執行命令的構造語句進行嚴格的檢查或者控制外部輸入，系統命令執行函數的參數不允許外部傳遞。 2 不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。 3 不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。 4 對輸出的數據也要檢查，資料庫里的值有可能會在一個大中國站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。 5 在發布應用程序之前測試所有已知的威脅

Ⅳ Linux系統 openssh漏洞怎麼修復

試試騰訊電腦管家，會根據你的系統環境智能篩選，若是發現不適用於你的系統環境的漏洞補丁也會智能忽略，將因補丁引起問題的機率較到最低。而至於磁碟空間的佔用你是不用擔心的，補丁備份所佔用的空間並不高，你可以在清理垃圾後選擇深度清理，然後選擇Windows Update或自動更新資料庫文件進行清理。至於系統性能，則正常情況下基本上不受影響。

Ⅵ 如何加強雲伺服器的SSH安全性

針對網路上雲伺服器上ssh服務經常被人暴力破解。我所總結的一點對ssh服務的安全加固的小經驗：

1、直接使用root用戶登錄伺服器當然是不安全的，建議創建一個普通用戶用於ssh遠程登錄，修改ssh服務的配置文件禁用root用戶登錄、僅開放密鑰驗證方式禁用其它驗證方式。

2、有很多攻擊程序會掃描公網上伺服器的22埠，一旦發現22埠就開始調用程序暴力破解。安全起見，建議修改ssh伺服器的埠。這里特意說明一下，放在公網上的伺服器一定要升起防火牆，並只開必要的埠。我一般只開放80、443、1221三個埠。

3、雲伺服器的root密碼一般只在由普通用戶切換至root用戶時用到，設置得太復雜，操作不方便，太復雜形同虛設。

所以我一般在團隊內部約定一個root密碼的規則，這個規則僅團隊內部人員知道，比如設置為』R00T@主機名@公司名』。

另外伺服器的登錄密鑰文件一定要妥善保存與分發。

Ⅶ 請教如何修補伺服器漏洞

用工具啊！

伺服器漏洞、ssh版本、遠程返回錯誤頁面這些使用伺服器安全軟體都是可以解決的問題。

Ⅷ 如何使用 DenyHosts 來阻止 SSH暴力攻擊

Denyhosts是一個Linux系統下阻止暴力破解SSH密碼的軟體，它的原理與DDoS Deflate類似，可以自動拒絕過多次數嘗試SSH登錄的IP地址，防止互聯網上某些機器常年破解密碼的行為，也可以防止黑客對SSH密碼進行窮舉。

眾所周知，暴露在互聯網上的計算機是非常危險的。並不要因為網站小，關注的人少或不惹眼就掉以輕心：互聯網中的大多數攻擊都是沒有目的性的，黑客們通過大范圍IP埠掃描探測到可能存在漏洞的主機，然後通過自動掃描工具進行窮舉破解。筆者的某台伺服器在修改SSH 22號埠之前，平均每天接受近百個來自不同IP的連接嘗試。而DenyHosts正是這樣一款工具。下文將對該工具的安裝與使用方法進行介紹。

DenyHosts阻止攻擊原理
DenyHosts會自動分析 /var/log/secure 等安全日誌文件，當發現異常的連接請求後，會自動將其IP加入到 /etc/hosts.deny 文件中，從而達到阻止此IP繼續暴力破解的可能。同時，Denyhosts還能自動在一定時間後對已經屏蔽的IP地址進行解封，非常智能。

官方網站
Denyhosts的官方網站為：http://denyhosts.sourceforge.net/ （杜絕Putty後門事件，謹記安全軟體官網）

安裝方法

1、下載DenyHosts源碼並解壓（目前最新版為2.6）
1 [root@www ~]# wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
2 [root@www ~]# tar zxvf DenyHosts-2.6.tar.gz
3 [root@www ~]# cd DenyHosts-2.6
2、安裝部署
1 [root@www DenyHosts-2.6]# yum install python -y
2 [root@www DenyHosts-2.6]# python setup.py install
3、准備好默認的配置文件
1 [root@www DenyHosts-2.6]# cd /usr/share/denyhosts/
2 [root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg
3 [root@www denyhosts]# cp daemon-control-dist daemon-control
4、編輯配置文件denyhosts.cfg
1 [root@www denyhosts]# vi denyhosts.cfg
該配置文件結構比較簡單，簡要說明主要參數如下：
PURGE_DENY：當一個IP被阻止以後，過多長時間被自動解禁。可選如3m（三分鍾）、5h（5小時）、2d（兩天）、8w（8周）、1y（一年）；
PURGE_THRESHOLD：定義了某一IP最多被解封多少次。即某一IP由於暴力破解SSH密碼被阻止/解封達到了PURGE_THRESHOLD次，則會被永久禁止；
BLOCK_SERVICE：需要阻止的服務名；
DENY_THRESHOLD_INVALID：某一無效用戶名（不存在的用戶）嘗試多少次登錄後被阻止；
DENY_THRESHOLD_VALID：某一有效用戶名嘗試多少次登陸後被阻止（比如賬號正確但密碼錯誤），root除外；
DENY_THRESHOLD_ROOT：root用戶嘗試登錄多少次後被阻止；
HOSTNAME_LOOKUP：是否嘗試解析源IP的域名；
大家可以根據上面的解釋，瀏覽一遍此配置文件，然後根據自己的需要稍微修改即可。
5、啟動Denyhosts
1 [root@www denyhosts]# ./daemon-control start
如果需要讓DenyHosts每次重啟後自動啟動，還需要：
6、設置自動啟動
設置自動啟動可以通過兩種方法進行。
第一種是將DenyHosts作為類似apache、mysql一樣的服務，這種方法可以通過 /etc/init.d/denyhosts 命令來控制其狀態。方法如下：
1 [root@www denyhosts]# cd /etc/init.d
2 [root@www init.d]# ln -s /usr/share/denyhosts/daemon-control denyhosts
3 [root@www init.d]# chkconfig --add denyhosts
4 [root@www init.d]# chkconfig -level 2345 denyhosts on
第二種是將Denyhosts直接加入rc.local中自動啟動（類似於Windows中的「啟動文件夾」）：
1 [root@www denyhosts]# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.local
如果想查看已經被阻止的IP，打開/etc/hosts.deny 文件即可。

Ⅸ SSH伺服器失敗怎麼辦

分享三個SSH伺服器失敗的修復辦法：