这是一个创建于 549 天前的主题,其中的信息可能已经有所发展或是发生改变。
内网环境的 Ubuntu ,没有互联网,昨天加班升级内核修了 CVE-2024-1086 Linux 提权漏洞,今天有接到通知又要修复 SSH 的 CVE-2024-6387 ,我记得之前也升级过 SSH ,当时操作失误导致连不上 SSH 跑到机房去修,导致现在修这类东西有点后怕了
想问下这类系统级的漏洞有没有比较安全的修复方式,现在是直接下载 deb 包安装上去或下载源码编译安装,每次都提心吊胆的怕升级后开不了机,虽然数据都做了备份,在测试环境也演练过,但还是不想用这种没有预期的修复方式
 | 1 dbak 2024-07-04 10:49:37 +08:00 你新编译的 ssh 路径要和系统默认的区分开 端口也区分开 确认升级、启动成功了 再把原来默认的 ssh 服务关掉 或者你在装下 salt 相比 ansible 他是主动去连接服务器的 这样就是 ssh 都挂了 通过 salt 也可以进行操作 |
 | 2 fmd12345 2024-07-04 10:57:34 +08:00 不都是临时开个 telnet 吗?不能开? |
 | 3 Mrun 2024-07-04 10:59:08 +08:00 下载升级包,去机房离线升级 |
| 4 Mrun 2024-07-04 11:00:19 +08:00 |
 | 5 chobits336 OP @dbak 不只是 ssh ,还有升级 linux 内核这种,有时候要连带升级 glibc 之类的可能会影响其他服务 |
| 6 chobits336 OP @fmd12345 端口没有开,只有 ssh 和一个对外的业务端口 |
 | 7 totoro625 2024-07-04 11:27:20 +08:00  1 我遇到过升级完没任何问题,直到某一天 reboot 后炸了 |
 | 8 villivateur 2024-07-04 13:10:36 +08:00 内网镜像一份 Ubuntu 的 APT 源就行了 |
 | 9 yinmin 2024-07-04 15:25:02 +08:00 via iPhone 如果不涉密,ssh 把本地 proxy 端口映射到远程服务器,在 linux 上配置 http/https proxy 环境变量,apt update && apt upgrade |
| 10 yinmin 2024-07-04 15:53:22 +08:00 1 方案如下: (1) 在你的笔记本电脑上先建本地的 http 代理,例如:127.0.0.1:7890 (2) 使用下面命令登录 ubuntu 服务器,登录后服务器的 7890 端口直连你笔记本电脑的 7890 端口 ssh -R 7890:127.0.0.1:7890 -C user@serverip (4) 设置环境变量 export use_proxy=on export http_proxy=http://127.0.0.1:7890 export https_proxy=http://127.0.0.1:7890 export all_proxy=http://127.0.0.1:7890 (5) 现在可以欢快的使用 apt update && apt upgrade 前提是 ubuntu server 不涉密!! |
 | 11 Yesr00 2024-07-04 16:34:20 +08:00 运维的活真难干 |
| 12 chobits336 OP @yinmin 请问 ssh -R 7890:127.0.0.1:7890 -C user@serverip 这条命令是在 ubuntu 服务器上执行连接我的电脑吗,连内网一般是单向通信的,中间可能有重重 net ,无法从内网连回来 |
| 13 yinmin 2024-07-04 17:39:58 +08:00 1 @chobits336 #12 是在你的笔记本电脑上运行的,把原来的 ssh user@serverip 改成 ssh -R 7890:127.0.0.1:7890 -C user@serverip 即可 这几行是在 ubuntu 上运行的: export use_proxy=on export http_proxy=http://127.0.0.1:7890 export https_proxy=http://127.0.0.1:7890 export all_proxy=http://127.0.0.1:7890apt update apt upgrade |
Select Language