针对 openssh cve-金年会app官方网

漏洞说明

总而言之，该漏洞影响非常大。

升级 openssh 修复漏洞

可以使用以下方法编译安装：

# 安装编译依赖
sudo apt-get update
sudo apt-get install -y build-essential zlib1g-dev libssl-dev
# 下载指定版本源码
wget https://cdn.openbsd.org/pub/openbsd/openssh/portable/openssh-9.8p1.tar.gz
# 解压并进入目录
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1
# 编译和安装
./configure
make
sudo make install
# 启动并检查安装
sudo systemctl restart ssh
ssh -v

下面的代码与上面一致，只是方便一行执行：

sudo apt-get update && sudo apt-get install -y build-essential zlib1g-dev libssl-dev && wget https://cdn.openbsd.org/pub/openbsd/openssh/portable/openssh-9.8p1.tar.gz && tar -xzf openssh-9.8p1.tar.gz && cd openssh-9.8p1 && ./configure && make && sudo make install && sudo systemctl restart ssh && ssh -v

输出：

$ sshd -v
openssh_9.8p1, openssl 1.1.1f  31 mar 2020

以上参考：

安装 fail2ban

本次攻击，如服务器上已安装 fail2ban ，会被拦截。所以装个 fail2ban 是好习惯。

fail2ban 是一个用于 linux 服务器的安全工具，主要用于防止暴力破解攻击。它通过监控服务器上的日志文件（如 ssh、web 服务器和邮件服务器的日志）来检测重复的登录失败尝试，并自动禁止显示可疑行为的 ip 地址一定时间。通过这种方式，fail2ban 能够减少服务器被成功攻击的风险，从而提高服务器的安全性。此工具可以配置为与多种服务一起使用，以增强服务器的整体安全性。

fail2ban 在默认安装后通常已经开启了对 ssh（通过 sshd 服务）的暴力破解保护。它通过监控 ssh 服务的日志文件来检测多次失败的登录尝试，并且可以自动阻止发起这些尝试的 ip 地址。这是通过名为 “sshd” 的监狱配置实现的，该配置默认是启用的，并且配置好了相关的过滤规则和行动策略。这有助于提高服务器对自动化登录尝试的抵御能力。对于大多数基本的安装，这个默认配置提供了一个很好的安全起点。

安装：

sudo apt update
sudo apt install fail2ban

开启：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

查看状态：

$ sudo fail2ban-client status
status
|- number of jail:        1
`- jail list:        sshd   // 默认开启的 sshd 保护

扩展阅读：

本作品采用《cc 协议》，转载必须注明作者和本文链接