OpenSSH 漏洞修复建议

什么是 OpenSSH？

OpenSSH（Open Secure Shell）是一套用于安全远程登录和文件传输的开源工具集，广泛应用于 Linux、Unix 和 macOS 系统中。由于其核心地位，一旦出现安全漏洞，可能被攻击者利用进行未授权访问、提权或数据窃取。

近期高危漏洞示例

• CVE-2024-6387：远程代码执行漏洞（RegreSSHion），影响 OpenSSH 服务器在默认配置下可能被未认证攻击者利用。
• CVE-2023-38408：PKCS#11 提供程序远程代码执行漏洞。
• CVE-2020-14145：信息泄露漏洞，可能暴露主机信息。

通用修复建议

1. 及时升级 OpenSSH：始终使用官方最新稳定版本。

   sudo apt update && sudo apt upgrade openssh-server   # Debian/Ubuntu
   sudo yum update openssh-server                     # CentOS/RHEL

2. 禁用不安全协议和算法：

   编辑 /etc/ssh/sshd_config，确保以下设置：

   Protocol 2
   PermitRootLogin no
   PasswordAuthentication no
   PubkeyAuthentication yes
   Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
   MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

3. 限制用户登录：

   AllowUsers your_username
   DenyUsers root,admin

4. 启用 Fail2Ban：防止暴力破解。

   sudo apt install fail2ban
   sudo systemctl enable --now fail2ban

5. 定期审计日志：监控 /var/log/auth.log 或 /var/log/secure 中的异常登录行为。

验证修复是否生效

• 使用 ssh -V 检查客户端版本，sshd -V（部分系统需查看日志）确认服务端版本。
• 使用在线工具（如 nmap --script ssh2-enum-algos target）检测弱算法是否已禁用。
• 通过 OpenSSH 官方安全公告 跟踪最新漏洞。

最佳实践小贴士