资讯专栏INFORMATION COLUMN

AIX6100系统安全加固【OpenSSL/OpenSSH】方案

IT那活儿 / 3406人阅读
AIX6100系统安全加固【OpenSSL/OpenSSH】方案
漏洞详情

高危漏洞详细列表信息如下:

根据上图发现高危漏洞主要涉及OpenSSL及OpenSSH服务,根据漏洞暴露信息及修复建议,查看相应的补丁版本信息;
需要注意的是:
上图中
OpenSSH 命令注入漏洞(CVE-2020-15778)】,目前IBM官网未提供漏洞补丁版本,暂无法修复此安全问题。


服务器环境

操作系统:AIX 6100-07

IP地址:10.254.68.20/21
业务用途:省通信业务服务器
漏洞软件版本:
OpenSSL 0.9.8r(0.9.8.1800)
OpenSSH_5.8p1(5.8.0.6101)


漏洞修复方式

修复方式:

漏洞软件补丁升级

软件补丁版本:

OpenSSL_1.0.2.2001  OpenSSH_7.5.102.2000

服务器连接方式:
  • HMC管理机连接服务器(console连接)。

  • 使用服务器上具有sudo权限/su到root权限的普通账号。(使用该两种方式以避免openssh版本升级后,无法以root登录服务器进行操作的问题)

操作时间:2021年4月1日12点00分
补丁升级过程:
1)官网下载软件补丁包
补丁下载官网地址:

https://mrs-ux.mrs-prod-7d4bdc08e7ddc90fa89b373d95c240eb-0000.us-south.containers.appdomain.cloud/marketing/iwm/platform/mrs/assets/packageList?source=aixbp&lang=en_US

  • 根据官网提示,登录IBM账号,选择在IBM官网下载到AIX系统所用补丁软件相应版本。

图1

  • 如图1所示,在搜索框键入openssh或openssl字符,显示软件页面入口。

  • 在相应的软件行首勾选,单击”Continue”进入软件下载界面。

图 2

  • 如图2所示,列出的软件版本可支持AIX5.3、6.1、7.1&7.2,列首“VRMF”字样内容代表软件版本号,列尾单击“Download”进行下载。”Readme“表示该软件版本的说明,下载软件之前,请查阅版本说明,判断此版本的更新内容是否已解决相应的安全漏洞问题,确认无误后单击对应的”Download”进行下载。
    【注:此次所下载OpenSSL版本为OpenSSL_1.0.2.2001】


  • 以同等方式在图1步骤中的检索处键入“openssh”,下载方式与下载OpenSSL补丁软件相同,此次所下载OpenSSL版本为OpenSSH_7.5.102.2000。

    由于安装不同版本的OpenSSH,会对安装的OpenSSL有版本匹配要求,所以下载前务必要查看版本说明,根据漏洞修复说明选择补丁版本,查看官网补丁说明进行确认后下载!】


2)备份OpenSSL及OpenSSH相关服务文件及配置文件

OpenSSH相关配置文件默认存放路径:
/usr/lib/目录下的libssl.a、libcrypto.a(文件库)
/usr/include/openssl (头文件)
/usr/bin/目录下的openssl、openssl64(二进制文件)
/usr/openssl/目录下的LICENSE、README(许可证和说明文件)
/var/ssl目录(配置文件)
/var/ssl/misc(相关工具)
OpenSSL相关配置文件默认存放路径:
/etc/ssh目录(配置文件)
/usr/bin/ssh(二进制文件)

注:配置文件存放路径可能不同,现场可结合find过滤做调整。


3)上传补丁软件包
上传补丁文件到对应漏洞修复服务器/tmp目录下(此目录可自行选择,注意权限问题)。


4)安装补丁(root权限操作)

#解压补丁文件
cd /tmp
zcat openssl-1.0.2.2001.tar.Z | tar xvf -
zcat OpenSSH_7.5.102.2000.tar.Z |tar xvf –
#安装openssl补丁
cd openssl-1.0.2.2001
smit installp

选择【Install Software】选项后,按回车键。
此处输入“./”,选择当前路径。
下划选框到【ACCEPT new license agreements?】列,按【Esc+7】键进入编辑框,默认此选项为no,按【tab】键选择yes,按【回车键】确认,返回安装选项页面,按【回车键】执行安装。
注意:license选项这里要选择“yes”,否则安装会失败。安装前可以先预览安装,没问题再安装。
安装过程会持续1-3分钟,如上图所示,command选项为OK时,表示软件已安装完成。安装完成后按【Esc+0】键退出即可。

OpenSSH安装步骤则在OpenSSH_7.5.102.2000的解压目录下执行命令:smit installp,安装过程与OpenSSL相同,此处不在赘述。

#验证安装版本
openssl version;
lslpp -l | grep ssl

ssh -V
lslpp -l | grep ssh
#查看ssh服务
lssrc -a | grep ssh
默认情况下安装完成之后系统会重新启动sshd服务
#若sshd服务未启动或ssh版本未变更为新版本,需重启ssh服务再次查看版本信息。stopsrc -s sshd;startsrc -s sshd


修复失败回退

若漏洞补丁升级失败,或使用的过程中有问题,可进行回退操作。
操作方式一:
#查询系统中已安装的临时补丁
emgr -l
#删除临时补丁
emgr -r -L 1001_fix
1001_fix为临时补丁的LABEL名称,现场执行需以实际查询结果为准。

操作方式二:

恢复已备份OpenSSL及OpenSSH相关服务文件及配置文件。

END


更多精彩干货分享

点击下方名片关注

IT那活儿

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/129835.html

相关文章

  • Android 应用防止被二次打包指南

    摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...

    PAMPANG 评论0 收藏0
  • 加固apk的开发者最常面对的十种问题

    摘要:朱星星表示面对破解者的动态调试,我们可以采取对进行加固的方案,防止被动态调试。事实上,不管有无其他问题,检测方如果检测到里有明文存储,则一定会被打回来,朱星星在解释该问题重要性时告诫开发者,在开发阶段一定要注意文件是否存在明文存储的问题。 欢迎访问网易云社区,了解更多网易技术产品运营经验。 因为工信部对移动App应用安全过检要求日益增多,不加固大都达不到工信部的要求,同时开发者加固Ap...

    pingink 评论0 收藏0

发表评论

0条评论

IT那活儿

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<