AIX6100系统安全加固【OpenSSL/OpenSSH】方案

IT那活儿发布于2023-01-11 13:20 / 3119人阅读

漏洞详情

高危漏洞详细列表信息如下：

根据上图发现高危漏洞主要涉及OpenSSL及OpenSSH服务，根据漏洞暴露信息及修复建议，查看相应的补丁版本信息；

需要注意的是：

上图中

【OpenSSH 命令注入漏洞(CVE-2020-15778)】，目前IBM官网未提供漏洞补丁版本，暂无法修复此安全问题。

服务器环境

操作系统：AIX 6100-07

IP地址：10.254.68.20/21

业务用途：省通信业务服务器

漏洞软件版本：

OpenSSL 0.9.8r（0.9.8.1800）

OpenSSH_5.8p1（5.8.0.6101）

漏洞修复方式

修复方式：

漏洞软件补丁升级

软件补丁版本：

OpenSSL_1.0.2.2001 OpenSSH_7.5.102.2000

服务器连接方式：

HMC管理机连接服务器（console连接）。
使用服务器上具有sudo权限/su到root权限的普通账号。（使用该两种方式以避免openssh版本升级后，无法以root登录服务器进行操作的问题）

操作时间：2021年4月1日12点00分

补丁升级过程：

1）官网下载软件补丁包

补丁下载官网地址：

https://mrs-ux.mrs-prod-7d4bdc08e7ddc90fa89b373d95c240eb-0000.us-south.containers.appdomain.cloud/marketing/iwm/platform/mrs/assets/packageList?source=aixbp&lang=en_US

根据官网提示，登录IBM账号，选择在IBM官网下载到AIX系统所用补丁软件相应版本。

图1

如图1所示，在搜索框键入openssh或openssl字符，显示软件页面入口。
在相应的软件行首勾选，单击”Continue”进入软件下载界面。

图 2

如图2所示，列出的软件版本可支持AIX5.3、6.1、7.1&7.2，列首“VRMF”字样内容代表软件版本号，列尾单击“Download”进行下载。”Readme“表示该软件版本的说明，下载软件之前，请查阅版本说明，判断此版本的更新内容是否已解决相应的安全漏洞问题，确认无误后单击对应的”Download”进行下载。
【注：此次所下载OpenSSL版本为OpenSSL_1.0.2.2001】

以同等方式在图1步骤中的检索处键入“openssh”,下载方式与下载OpenSSL补丁软件相同，此次所下载OpenSSL版本为OpenSSH_7.5.102.2000。
【注：由于安装不同版本的OpenSSH，会对安装的OpenSSL有版本匹配要求，所以下载前务必要查看版本说明，根据漏洞修复说明选择补丁版本，查看官网补丁说明进行确认后下载！】

2）备份OpenSSL及OpenSSH相关服务文件及配置文件

OpenSSH相关配置文件默认存放路径：
/usr/lib/目录下的libssl.a、libcrypto.a（文件库）
/usr/include/openssl （头文件）
/usr/bin/目录下的openssl、openssl64（二进制文件）
/usr/openssl/目录下的LICENSE、README(许可证和说明文件)
/var/ssl目录（配置文件）
/var/ssl/misc（相关工具）
OpenSSL相关配置文件默认存放路径：
/etc/ssh目录（配置文件）
/usr/bin/ssh（二进制文件）

注：配置文件存放路径可能不同，现场可结合find过滤做调整。

3）上传补丁软件包

上传补丁文件到对应漏洞修复服务器/tmp目录下（此目录可自行选择，注意权限问题）。

4）安装补丁（root权限操作）

#解压补丁文件
cd /tmp
zcat openssl-1.0.2.2001.tar.Z | tar xvf -
zcat OpenSSH_7.5.102.2000.tar.Z |tar xvf –
#安装openssl补丁
cd openssl-1.0.2.2001
smit installp

选择【Install Software】选项后，按回车键。

此处输入“./”，选择当前路径。

下划选框到【ACCEPT new license agreements？】列，按【Esc+7】键进入编辑框，默认此选项为no，按【tab】键选择yes，按【回车键】确认，返回安装选项页面，按【回车键】执行安装。

注意：license选项这里要选择“yes”，否则安装会失败。安装前可以先预览安装，没问题再安装。

安装过程会持续1-3分钟，如上图所示，command选项为OK时，表示软件已安装完成。安装完成后按【Esc+0】键退出即可。

OpenSSH安装步骤则在OpenSSH_7.5.102.2000的解压目录下执行命令：smit installp，安装过程与OpenSSL相同，此处不在赘述。

#验证安装版本
openssl version;
lslpp -l | grep ssl

ssh -V
lslpp -l | grep ssh
#查看ssh服务
lssrc -a | grep ssh
默认情况下安装完成之后系统会重新启动sshd服务
#若sshd服务未启动或ssh版本未变更为新版本，需重启ssh服务再次查看版本信息。stopsrc -s sshd;startsrc -s sshd

修复失败回退

若漏洞补丁升级失败，或使用的过程中有问题，可进行回退操作。

操作方式一：

#查询系统中已安装的临时补丁

emgr -l

#删除临时补丁

emgr -r -L 1001_fix

1001_fix为临时补丁的LABEL名称，现场执行需以实际查询结果为准。

操作方式二：

恢复已备份OpenSSL及OpenSSH相关服务文件及配置文件。

END

更多精彩干货分享

点击下方名片关注

IT那活儿

服务器托管海外云主机系统安全加固 linux系统安全加固 linux系统安全加固手册 linux系统安全加固规范

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/129835.html

Android 应用防止被二次打包指南

摘要：接下来，我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件，保护数据安全。前言 Android APP二次打包则是盗版正规Android APP，破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序，它会在不知不觉中浪费手机电量、流量，恶意扣费、偷窥隐私等等行为。二次打包问题只是Android应用安全风险中...

PAMPANG 2019-08-16 13:47 评论0 收藏0
加固apk的开发者最常面对的十种问题

摘要：朱星星表示面对破解者的动态调试，我们可以采取对进行加固的方案，防止被动态调试。事实上，不管有无其他问题，检测方如果检测到里有明文存储，则一定会被打回来，朱星星在解释该问题重要性时告诫开发者，在开发阶段一定要注意文件是否存在明文存储的问题。欢迎访问网易云社区，了解更多网易技术产品运营经验。因为工信部对移动App应用安全过检要求日益增多，不加固大都达不到工信部的要求，同时开发者加固Ap...

pingink 2019-06-28 11:03 评论0 收藏0