内网环境的 Ubuntu ,没有互联网,昨天加班升级内核修了 CVE-2024-1086 Linux 提权漏洞,今天有接到通知又要修复 SSH 的 CVE-2024-6387 ,我记得之前也升级过 SSH ,当时操作失误导致连不上 SSH 跑到机房去修,导致现在修这类东西有点后怕了
想问下这类系统级的漏洞有没有比较安全的修复方式,现在是直接下载 deb 包安装上去或下载源码编译安装,每次都提心吊胆的怕升级后开不了机,虽然数据都做了备份,在测试环境也演练过,但还是不想用这种没有预期的修复方式
1
dbak 149 天前
你新编译的 ssh 路径要和系统默认的区分开 端口也区分开 确认升级、启动成功了 再把原来默认的 ssh 服务关掉 或者你在装下 salt 相比 ansible 他是主动去连接服务器的 这样就是 ssh 都挂了 通过 salt 也可以进行操作
|
2
fmd12345 149 天前
不都是临时开个 telnet 吗?不能开?
|
3
Mrun 149 天前
下载升级包,去机房离线升级
|
4
Mrun 149 天前
|
5
chobits336 OP @dbak 不只是 ssh ,还有升级 linux 内核这种,有时候要连带升级 glibc 之类的可能会影响其他服务
|
6
chobits336 OP @fmd12345 端口没有开,只有 ssh 和一个对外的业务端口
|
7
totoro625 149 天前 1
我遇到过升级完没任何问题,直到某一天 reboot 后炸了
|
8
villivateur 149 天前
内网镜像一份 Ubuntu 的 APT 源就行了
|
9
yinmin 149 天前 via iPhone
如果不涉密,ssh 把本地 proxy 端口映射到远程服务器,在 linux 上配置 http/https proxy 环境变量,apt update && apt upgrade
|
10
yinmin 149 天前 1
方案如下:
(1) 在你的笔记本电脑上先建本地的 http 代理,例如:127.0.0.1:7890 (2) 使用下面命令登录 ubuntu 服务器,登录后服务器的 7890 端口直连你笔记本电脑的 7890 端口 ssh -R 7890:127.0.0.1:7890 -C user@serverip (4) 设置环境变量 export use_proxy=on export http_proxy=http://127.0.0.1:7890 export https_proxy=http://127.0.0.1:7890 export all_proxy=http://127.0.0.1:7890 (5) 现在可以欢快的使用 apt update && apt upgrade 前提是 ubuntu server 不涉密!! |
11
Yesr00 149 天前
运维的活真难干
|
12
chobits336 OP @yinmin 请问 ssh -R 7890:127.0.0.1:7890 -C user@serverip 这条命令是在 ubuntu 服务器上执行连接我的电脑吗,连内网一般是单向通信的,中间可能有重重 net ,无法从内网连回来
|
13
yinmin 149 天前 1
@chobits336 #12 是在你的笔记本电脑上运行的,把原来的 ssh user@serverip 改成 ssh -R 7890:127.0.0.1:7890 -C user@serverip 即可
这几行是在 ubuntu 上运行的: export use_proxy=on export http_proxy=http://127.0.0.1:7890 export https_proxy=http://127.0.0.1:7890 export all_proxy=http://127.0.0.1:7890 apt update apt upgrade |