如何解决服务器ssh漏洞

Ⅰ openssh漏洞怎么修复 windows

漏洞名称：OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
漏洞说明：OpenSSH是SSH协议组的实现，可为各种服务提供加密的认证传输，包括远程shell访问。当J-PAKE启用时，OpenSSH 5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可以通过发送每一轮协议中的特制值绕过共享秘密信息的需求，并成功获得认证。
解决方法：卸载系统的OpenSSH服务，安装最新版本的OpenSSH。
解决方法步骤：

1.检查openssl 版本在0.9.6以上
rpm –qa |grep openssl

2.检查zlib版本在1.2.1.2以上
rpm –qa |grep zlib

3.使用root用户登录系统进入到/root 上传openssh-6.6p1.tar.gz到该目录下
Cp /mnt/openssh-6.6p1.tar.gz /root

4.备份原rpm启动脚本到当前路径下
cp /etc/init.d/sshd ./

5.停止ssh服务
/etc/init.d/sshd stop

6.删除原rpm openssh软件包
rpm -e openssh-server openssh-5.3p1 openssh-clients openssh-askpass --nodeps

7.解压源码补丁安装包
tar -zxvf openssh 6.0p1.tar.gz

8.进入该目录
cd /root/openssh6.0p1
9.配置yum
新建ISO挂载目录
Mkdir /localyum
将ISO文件挂载到新建的目录(如果是光盘：mount -a /dev/cdrom /localyum
Mount -o loop /mnt/rhel-server-6.5-x86_64-dvd.iso /localyum
新建repo文件
Vim /etc/yum.repo/localyum.repo
内容如下：

Ⅱ 如何制止OpenSSH漏洞

Michael Cobb：OpenSSH是一个免费的基于SSH协议的有关安全的网络层实用工具。可在绝大多数基于Linux的系统上使用，也可以在许多网络基础设施设备上使用，它为远程登录和远程文件传输等网络服务以多因素身份验证方式提供加密服务。默认情况下，SSH服务器允许在关闭连接前尝试登录6次，一台SSH客户端只允许尝试登录3次。然而，研究员KingCope最新发现的身份认证漏洞允许攻击者可在2分钟内在一些键盘操作开启的OpenSSH服务器上不限次数的尝试登录。概念验证利用代码是一个非常简单的命令：
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
虽然在两分钟内暴力破解强密码不太可能会成功，不过对于内置SSH的设备来说暴力破解密码仍是一个常见现象，这表明攻击者仍然在寻找使用弱密码的服务器来谋求价值，特别是那些键盘操作认证已在FreeBSD上等默认启用的时候。黑客不使用最常见的密码，而是一些更特别的密码来找到正确的，反正该认证漏洞允许他们随便进行尝试。
Red Hat、OpenBSD以及CentOS系统看上去可能不受该认证漏洞影响，不过FreeBSD以及Mac操作系统会受影响，因为它们在认证失败时不会有任何延时。这虽然不是一个非常严重的漏洞，但在官方补丁和最佳实践出来之前，管理员应该采取以下步骤避免漏洞被利用：
· 禁用密码验证
· 使用一个密钥用于验证，只有具有密钥的电脑可以访问面向Internet的服务器
· 使用键长度至少2048节
· 使用强密码来保护密钥
· 减少20或30秒尝试登录期
· 限制尝试登录次数
· 不禁用登录失败时的延时
也可以用Fail2ban这类的工具来防止OpenSSH漏洞，减少错误认证的几率以及更新防火墙规则，在指定时间内拒绝受怀疑的IP地址访问

Ⅲ openssh漏洞怎么修复

解决方法步骤：

1.检查openssl 版本在0.9.6以上
rpm –qa |grep openssl

2.检查zlib版本在1.2.1.2以上
rpm –qa |grep zlib

3.使用root用户登录系统进入到/root 上传openssh-6.6p1.tar.gz到该目录下
Cp /mnt/openssh-6.6p1.tar.gz /root

4.备份原rpm启动脚本到当前路径下
cp /etc/init.d/sshd ./

5.停止ssh服务
/etc/init.d/sshd stop

6.删除原rpm openssh软件包
rpm -e openssh-server openssh-5.3p1 openssh-clients openssh-askpass --nodeps

7.解压源码补丁安装包
tar -zxvf openssh 6.0p1.tar.gz

8.进入该目录
cd /root/openssh6.0p1
9.配置yum
新建ISO挂载目录
Mkdir /localyum
将ISO文件挂载到新建的目录(如果是光盘：mount -a /dev/cdrom /localyum
Mount -o loop /mnt/rhel-server-6.5-x86_64-dvd.iso /localyum
新建repo文件
Vim /etc/yum.repo/localyum.repo
内容如下：

Ⅳ openssh 远程代码执行漏洞 怎么解决

远程命令执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。 由于开发人员编写源码，没有针对代码中可执行的特殊函数入口做过滤，导致客户端可以提交恶意构造语句提交，并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval()，exec()等函数是该漏洞攻击成功的最主要原因。 解决方案 1 假定所有输入都是可疑的，尝试对所有输入提交可能执行命令的构造语句进行严格的检查或者控制外部输入，系统命令执行函数的参数不允许外部传递。 2 不仅要验证数据的类型，还要验证其格式、长度、范围和内容。 3 不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。 4 对输出的数据也要检查，数据库里的值有可能会在一个大中国站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。 5 在发布应用程序之前测试所有已知的威胁

Ⅳ Linux系统 openssh漏洞怎么修复

试试腾讯电脑管家，会根据你的系统环境智能筛选，若是发现不适用于你的系统环境的漏洞补丁也会智能忽略，将因补丁引起问题的机率较到最低。而至于磁盘空间的占用你是不用担心的，补丁备份所占用的空间并不高，你可以在清理垃圾后选择深度清理，然后选择Windows Update或自动更新数据库文件进行清理。至于系统性能，则正常情况下基本上不受影响。

Ⅵ 如何加强云服务器的SSH安全性

针对网络上云服务器上ssh服务经常被人暴力破解。我所总结的一点对ssh服务的安全加固的小经验：

1、直接使用root用户登录服务器当然是不安全的，建议创建一个普通用户用于ssh远程登录，修改ssh服务的配置文件禁用root用户登录、仅开放密钥验证方式禁用其它验证方式。

2、有很多攻击程序会扫描公网上服务器的22端口，一旦发现22端口就开始调用程序暴力破解。安全起见，建议修改ssh服务器的端口。这里特意说明一下，放在公网上的服务器一定要升起防火墙，并只开必要的端口。我一般只开放80、443、1221三个端口。

3、云服务器的root密码一般只在由普通用户切换至root用户时用到，设置得太复杂，操作不方便，太复杂形同虚设。

所以我一般在团队内部约定一个root密码的规则，这个规则仅团队内部人员知道，比如设置为’R00T@主机名@公司名’。

另外服务器的登录密钥文件一定要妥善保存与分发。

Ⅶ 请教如何修补服务器漏洞

用工具啊！

服务器漏洞、ssh版本、远程返回错误页面这些使用服务器安全软件都是可以解决的问题。

Ⅷ 如何使用 DenyHosts 来阻止 SSH暴力攻击

Denyhosts是一个Linux系统下阻止暴力破解SSH密码的软件，它的原理与DDoS Deflate类似，可以自动拒绝过多次数尝试SSH登录的IP地址，防止互联网上某些机器常年破解密码的行为，也可以防止黑客对SSH密码进行穷举。

众所周知，暴露在互联网上的计算机是非常危险的。并不要因为网站小，关注的人少或不惹眼就掉以轻心：互联网中的大多数攻击都是没有目的性的，黑客们通过大范围IP端口扫描探测到可能存在漏洞的主机，然后通过自动扫描工具进行穷举破解。笔者的某台服务器在修改SSH 22号端口之前，平均每天接受近百个来自不同IP的连接尝试。而DenyHosts正是这样一款工具。下文将对该工具的安装与使用方法进行介绍。

DenyHosts阻止攻击原理
DenyHosts会自动分析 /var/log/secure 等安全日志文件，当发现异常的连接请求后，会自动将其IP加入到 /etc/hosts.deny 文件中，从而达到阻止此IP继续暴力破解的可能。同时，Denyhosts还能自动在一定时间后对已经屏蔽的IP地址进行解封，非常智能。

官方网站
Denyhosts的官方网站为：http://denyhosts.sourceforge.net/ （杜绝Putty后门事件，谨记安全软件官网）

安装方法

1、下载DenyHosts源码并解压（目前最新版为2.6）
1 [root@www ~]# wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
2 [root@www ~]# tar zxvf DenyHosts-2.6.tar.gz
3 [root@www ~]# cd DenyHosts-2.6
2、安装部署
1 [root@www DenyHosts-2.6]# yum install python -y
2 [root@www DenyHosts-2.6]# python setup.py install
3、准备好默认的配置文件
1 [root@www DenyHosts-2.6]# cd /usr/share/denyhosts/
2 [root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg
3 [root@www denyhosts]# cp daemon-control-dist daemon-control
4、编辑配置文件denyhosts.cfg
1 [root@www denyhosts]# vi denyhosts.cfg
该配置文件结构比较简单，简要说明主要参数如下：
PURGE_DENY：当一个IP被阻止以后，过多长时间被自动解禁。可选如3m（三分钟）、5h（5小时）、2d（两天）、8w（8周）、1y（一年）；
PURGE_THRESHOLD：定义了某一IP最多被解封多少次。即某一IP由于暴力破解SSH密码被阻止/解封达到了PURGE_THRESHOLD次，则会被永久禁止；
BLOCK_SERVICE：需要阻止的服务名；
DENY_THRESHOLD_INVALID：某一无效用户名（不存在的用户）尝试多少次登录后被阻止；
DENY_THRESHOLD_VALID：某一有效用户名尝试多少次登陆后被阻止（比如账号正确但密码错误），root除外；
DENY_THRESHOLD_ROOT：root用户尝试登录多少次后被阻止；
HOSTNAME_LOOKUP：是否尝试解析源IP的域名；
大家可以根据上面的解释，浏览一遍此配置文件，然后根据自己的需要稍微修改即可。
5、启动Denyhosts
1 [root@www denyhosts]# ./daemon-control start
如果需要让DenyHosts每次重启后自动启动，还需要：
6、设置自动启动
设置自动启动可以通过两种方法进行。
第一种是将DenyHosts作为类似apache、mysql一样的服务，这种方法可以通过 /etc/init.d/denyhosts 命令来控制其状态。方法如下：
1 [root@www denyhosts]# cd /etc/init.d
2 [root@www init.d]# ln -s /usr/share/denyhosts/daemon-control denyhosts
3 [root@www init.d]# chkconfig --add denyhosts
4 [root@www init.d]# chkconfig -level 2345 denyhosts on
第二种是将Denyhosts直接加入rc.local中自动启动（类似于Windows中的“启动文件夹”）：
1 [root@www denyhosts]# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.local
如果想查看已经被阻止的IP，打开/etc/hosts.deny 文件即可。

Ⅸ SSH服务器失败怎么办

分享三个SSH服务器失败的修复办法：