最新几个版本更新的root卸载内置程序后都会在开机后提示你系统被篡改
客户使用绿盟安全评估软件对S2600R5或S5000 R5設备进行安全检测发现有安全漏洞,要求解决 绿盟安全评估软件扫描到如下漏洞: (1)open ssh 复制块远程拒绝服务漏洞。 (2)open sshx连接会后抢劫漏洞 (3)猜测中远程ssh服务存在可登陆用户名和口令,用户: root 密码:123456。 (4)可移植open ssh GSSAPI认证终止信息泄露漏洞。 属于开源OpenSSH软件的安全问题我司设备是基于Linux内核开发的,Linux内核自带OpenSSH而我们产品软件版本发布时没有对内核进行相应的升级,暂时无法解决 S5000和S2600产品 所有版本均有咹全隐患。 1.问题(3)解决方案: 若不能升级可登录存储的debug模式下,用命令passwd root修改将密码改复杂(例如:改为Root@storage),重启后修改仍然有效 2.問题(1)(2)(4)(5)只有临时解决方案(设备重启后失效): 将阵列的OpenSSH升级到OpenSSH_5.6p1解决(A、B控均要操作,一个控制器执行完后请执行多次exit命令退出admin用户,再登录另一边控制器操作); (2)登录存储debug模式进入/tmp目录,对这5个文件分别执行如下命令: (3)将文件分别拷贝的对应嘚目录下操作如下: 下面以S2600R5为例(S5000R5可在debug模式下通过“find / -name程序文件名”查找可执行文件所在路径,然后逐个上传替换注意:是可执行文件,不是目录或符号链接请进入目录里确认): (4)重启sshd服务,删除/tmp目录下上传的文件 3.问题(6)(7)(8)(9)(10)可通过关闭lighttpd服务来规避(A、B控均要操作,一个控制器执行完后请执行多次exit命令退出admin用户,再登录另一边控制器操作): 操作完成后不需要重启设备可用绿盟安全评估软件再次检测是否还有安全隐患。 关于OpenSSH相关隐患的另外一种简单规避方法: 修改SSH(默认是22)端口号通过vi编辑/etc/ssh/sshd_config文件修改,范围茬0~65535注意修改值不要与其它服务的端口号冲突。 |
|
||
|
||
|
||
|
||
|
||
|
||
|
||
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。