OpenSSH漏洞修复X11-forwarding

Posted 2023-03-31

参考技术A 最近服务器检测到：OpenSSH xauth 输入验证漏洞 (CVE-2016-3115)。
有两种修复方案：

一、编辑sshd_config文件。

二、修改X11Forwarding 配置为no。

X11 中的 X 指的就是 X 协议；11 指的是采用 X 协议的第 11 个版本。
X11-forwarding 说的简单明白点就是：可以通过一个支持 X Server 的 SSH 客户端，例如：MobaXterm。 连接到远程 Linux 服务器，可以在本地通过 MobaXterm 运行操作一个远程 Linux 服务器上有图形界面的程序。

Linux 本身是没有图形化界面的，所谓的图形化界面系统只不过中 Linux 下的应用程序。这一点和 Windows 不一样。Windows 从 Windows 95 开始，图形界面就直接在系统内核中实现了，是操作系统不可或缺的一部分。Linux 的图形化界面，底层都是基于 X 协议。

X11Forwarding no
x11转发功能实际应用会非常罕见，作用是将远程的图形数据在本地的X server上展示，以实现本地操作远程图形程序的功能。首先是Linux服务器大多运行在无图形环境下，本身就没有图形化程序跑在上面，再加上客户机可能多数是windows，又没有X环境，更加限制了这个功能的使用。还有就是x11 forwarding性能不是很好，实际使用会发现非常卡，不适合使用那种对响应速度要求比较灵敏的应用程序，比如浏览器，在x11 forwarding下运行动图会非常卡。最后就是需要跑图形化程序的服务器多数都安装有桌面环境，配置有vnc，因此就更没有人愿意使用这个功能了。

参考链接：
https://www.jianshu.com/p/1a296191a122
https://segmentfault.com/a/1190000014822400

Openssh升级漏洞修复

参考技术A 0.前言
公司采用三方漏洞扫描时发现大量openssh漏洞，最终修复漏洞方案为将openssh升级到官方最新版本。

操作系统： Centos7.2
网络状况： 可以访问外网
Openssh版本： OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013

修改配置文件/etc/xinetd.d/telnet 将里面的”disable= yes”改成” disable=no” ，修改后结果

在/etc/securetty文件末尾增加一些pts终端,直接加在末尾就可以了

防火墙开启23号端口，当然也可以直接关闭防火墙 ,这里选择关闭防火墙

或修改配置文件，永久生效。

（4）安装依赖包

4.2 换成telnet登录服务器
其换成telnet登录服务器，更新过程ssh连接会断，导致无法连接

4.3 安装Openssl步骤
（1）替换会被备份的文件

（2）解压软件包并且进入目录进行编译

（3）创建软连接

（4）验证文件

（5）修改配置文件

5.2 安装步骤
（1）解压压缩包

（2）修改目录权限

（3）备份会替换的文件

（4）执行编译安装

（5）修改配置文件

（6）文件替换

（7）添加开机自启动

（8）重启ssh

注意：在运行这个脚本的时候备份文件必须要是/back_up/backup.tgz,如果备份的时候叫其他名称，请自行修改脚本。还有脚本不能运行为前台且跟终端相关进程，因为经测试发现在还原的时候ip会被冲掉。所以远程连接会断掉

最后需要注意的是执行脚本会重启机器