AIX6100系統(tǒng)安全加固【OpenSSL/OpenSSH】方案
高危漏洞詳細(xì)列表信息如下:
根據(jù)上圖發(fā)現(xiàn)高危漏洞主要涉及OpenSSL及OpenSSH服務(wù)����,根據(jù)漏洞暴露信息及修復(fù)建議��,查看相應(yīng)的補(bǔ)丁版本信息�;【OpenSSH 命令注入漏洞(CVE-2020-15778)】�����,目前IBM官網(wǎng)未提供漏洞補(bǔ)丁版本���,暫無(wú)法修復(fù)此安全問題。
操作系統(tǒng):AIX 6100-07
業(yè)務(wù)用途:省通信業(yè)務(wù)服務(wù)器 OpenSSL 0.9.8r(0.9.8.1800) OpenSSH_5.8p1(5.8.0.6101)
修復(fù)方式:
漏洞軟件補(bǔ)丁升級(jí)
OpenSSL_1.0.2.2001 OpenSSH_7.5.102.2000
操作時(shí)間:2021年4月1日12點(diǎn)00分https://mrs-ux.mrs-prod-7d4bdc08e7ddc90fa89b373d95c240eb-0000.us-south.containers.appdomain.cloud/marketing/iwm/platform/mrs/assets/packageList?source=aixbp&lang=en_US
圖1
圖 2
- 如圖2所示,列出的軟件版本可支持AIX5.3��、6.1��、7.1&7.2�����,列首“VRMF”字樣內(nèi)容代表軟件版本號(hào)���,列尾單擊“Download”進(jìn)行下載���。”Readme“表示該軟件版本的說明�����,下載軟件之前��,請(qǐng)查閱版本說明,判斷此版本的更新內(nèi)容是否已解決相應(yīng)的安全漏洞問題�,確認(rèn)無(wú)誤后單擊對(duì)應(yīng)的”Download”進(jìn)行下載。【注:此次所下載OpenSSL版本為OpenSSL_1.0.2.2001】
2)備份OpenSSL及OpenSSH相關(guān)服務(wù)文件及配置文件
OpenSSH相關(guān)配置文件默認(rèn)存放路徑:
/usr/lib/目錄下的libssl.a�、libcrypto.a(文件庫(kù))
/usr/include/openssl (頭文件)
/usr/bin/目錄下的openssl、openssl64(二進(jìn)制文件)
/usr/openssl/目錄下的LICENSE�����、README(許可證和說明文件)
/var/ssl目錄(配置文件)
/var/ssl/misc(相關(guān)工具)
OpenSSL相關(guān)配置文件默認(rèn)存放路徑:
/etc/ssh目錄(配置文件)
/usr/bin/ssh(二進(jìn)制文件)
注:配置文件存放路徑可能不同,現(xiàn)場(chǎng)可結(jié)合find過濾做調(diào)整�����。
上傳補(bǔ)丁文件到對(duì)應(yīng)漏洞修復(fù)服務(wù)器/tmp目錄下(此目錄可自行選擇�,注意權(quán)限問題)�。
4)安裝補(bǔ)丁(root權(quán)限操作)
#解壓補(bǔ)丁文件
cd /tmp
zcat openssl-1.0.2.2001.tar.Z | tar xvf -
zcat OpenSSH_7.5.102.2000.tar.Z |tar xvf –
#安裝openssl補(bǔ)丁
cd openssl-1.0.2.2001
smit installp
選擇【Install Software】選項(xiàng)后�����,按回車鍵�����。此處輸入“./”�����,選擇當(dāng)前路徑���。
下劃選框到【ACCEPT new license agreements��?】列�,按【Esc+7】鍵進(jìn)入編輯框,默認(rèn)此選項(xiàng)為no����,按【tab】鍵選擇yes,按【回車鍵】確認(rèn)��,返回安裝選項(xiàng)頁(yè)面����,按【回車鍵】執(zhí)行安裝。注意:license選項(xiàng)這里要選擇“yes”��,否則安裝會(huì)失敗�。安裝前可以先預(yù)覽安裝,沒問題再安裝��。 安裝過程會(huì)持續(xù)1-3分鐘����,如上圖所示,command選項(xiàng)為OK時(shí)�����,表示軟件已安裝完成�����。安裝完成后按【Esc+0】鍵退出即可。OpenSSH安裝步驟則在OpenSSH_7.5.102.2000的解壓目錄下執(zhí)行命令:smit installp�,安裝過程與OpenSSL相同,此處不在贅述���。
#驗(yàn)證安裝版本
openssl version;
lslpp -l | grep ssl
ssh -V
lslpp -l | grep ssh
#查看ssh服務(wù)
lssrc -a | grep ssh
默認(rèn)情況下安裝完成之后系統(tǒng)會(huì)重新啟動(dòng)sshd服務(wù)
#若sshd服務(wù)未啟動(dòng)或ssh版本未變更為新版本,需重啟ssh服務(wù)再次查看版本信息����。stopsrc -s sshd;startsrc -s sshd
若漏洞補(bǔ)丁升級(jí)失敗,或使用的過程中有問題�,可進(jìn)行回退操作。 #查詢系統(tǒng)中已安裝的臨時(shí)補(bǔ)丁 1001_fix為臨時(shí)補(bǔ)丁的LABEL名稱����,現(xiàn)場(chǎng)執(zhí)行需以實(shí)際查詢結(jié)果為準(zhǔn)。 操作方式二:
恢復(fù)已備份OpenSSL及OpenSSH相關(guān)服務(wù)文件及配置文件��。
更多精彩干貨分享
點(diǎn)擊下方名片關(guān)注
IT那活兒
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/129835.html
