什么是 OpenSSH 漏洞?
OpenSSH 是广泛使用的远程登录工具,但近年来多次曝出高危漏洞(如 CVE-2024-6387),攻击者可利用这些漏洞在未授权情况下执行任意代码,导致服务器被完全控制。
如果你的系统运行的是较旧版本的 OpenSSH(特别是 8.9p1 之前的版本),建议立即采取措施。
临时方案:关闭 SSH 服务(仅限紧急情况)
⚠️ 注意:关闭 SSH 会导致远程无法管理服务器,请确保你有本地或带外访问权限(如 IPMI、控制台)。
Linux 系统(systemd)
# 临时停止 SSH 服务
sudo systemctl stop ssh
# 禁止开机自启(可选)
sudo systemctl disable ssh旧版 Linux(SysV init)
sudo service ssh stop
# 或
sudo /etc/init.d/ssh stop推荐做法:不关闭 SSH,而是升级或加固配置
完全关闭 SSH 可能影响运维,更安全的做法是:
- 升级 OpenSSH 到最新安全版本
- 限制 SSH 访问来源(使用防火墙)
- 禁用 root 登录和密码认证,改用密钥
- 启用 Fail2ban 防暴力破解
示例:限制 SSH 仅允许特定 IP 访问(使用 ufw)
sudo ufw allow from 192.168.1.100 to any port 22
sudo ufw deny 22
sudo ufw reload验证是否受影响
检查当前 OpenSSH 版本:
ssh -V输出示例:OpenSSH_8.4p1, OpenSSL 1.1.1k ...
若版本低于 9.8p1(针对 CVE-2024-6387),请尽快升级。