Не работает аутентификация по паролю openssh-server 8.1
- Автор темы delsky
- Дата начала
1. https://mirror.yandex.ru/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
2.Тех. поддержка Астра линукс прислала инструкцию по сборке пакетов:
apt-get build-essential module-assistant libcrypto++-dev libssl-dev zlib-bin zlib1g-dev
./configure
make & make install
3.Тогда каким образом пройти аттестацию системы, если в ней есть пакет - устаревшая версия openssh-6.0.p1 имеющий уязвимости ?
2.Тех. поддержка Астра линукс прислала инструкцию по сборке пакетов:
apt-get build-essential module-assistant libcrypto++-dev libssl-dev zlib-bin zlib1g-dev
./configure
make & make install
3.Тогда каким образом пройти аттестацию системы, если в ней есть пакет - устаревшая версия openssh-6.0.p1 имеющий уязвимости ?
to delsky
Для начала следует поглядеть перечень обновлений безопасности, выложенный в соответствующем разделе сайта производителя, на предмет исправлений уязвимого сервиса (не только openssh касается)...
Если в обновлениях оного исправления нет, писать официальную жалобу в РусБинТех на предмет внесения исправлений (потому что проблема сторонних утилит/сервисов, поставляемых в Astra Linux "из коробки", - это проблема Astra Linux в целом, ага). Если откажутся/затянут - писать напрямую регулятору, выдавшему сертификат на тот дистрибутив, который имеется у вас, с описанием проблемы. Причем эти запросы должен оформлять орган по аттестации, не желающий выдавать аттестат на АС, где используется Astra Linux SE с оным уязвимым сервисом...
И это при условии, что наличие уязвимости оправдано в рамках технологического процесса обработки информации, реализованного в АС. И влияет на оконечную защищенность АС. И не перекрывается другими мерами и средствами, принятыми по линии инфобеза в АС...
Но уж никак не качать сорцы из Сети, без полноценного аудита исходного кода, тем более из репы OpenBSD (!), и не компилить их вручную в среде дистрибутива с бинарной идеалогией, блин...
Для начала следует поглядеть перечень обновлений безопасности, выложенный в соответствующем разделе сайта производителя, на предмет исправлений уязвимого сервиса (не только openssh касается)...
Если в обновлениях оного исправления нет, писать официальную жалобу в РусБинТех на предмет внесения исправлений (потому что проблема сторонних утилит/сервисов, поставляемых в Astra Linux "из коробки", - это проблема Astra Linux в целом, ага). Если откажутся/затянут - писать напрямую регулятору, выдавшему сертификат на тот дистрибутив, который имеется у вас, с описанием проблемы. Причем эти запросы должен оформлять орган по аттестации, не желающий выдавать аттестат на АС, где используется Astra Linux SE с оным уязвимым сервисом...
И это при условии, что наличие уязвимости оправдано в рамках технологического процесса обработки информации, реализованного в АС. И влияет на оконечную защищенность АС. И не перекрывается другими мерами и средствами, принятыми по линии инфобеза в АС...
Но уж никак не качать сорцы из Сети, без полноценного аудита исходного кода, тем более из репы OpenBSD (!), и не компилить их вручную в среде дистрибутива с бинарной идеалогией, блин...
Может кому-нибудь пригодится:
Подключаем два ISO-диска к ВМ (диск №1 и диск разработчика, обновления пакетов с диска обновлений не ставить, диск с обновлениями не вставлять !!!).
Монтируем эти диски в ОС в файловую систему.
mount /dev/sr0 /media/cdrom0 -t iso9660 - обычно монтируется автоматически.
mount /dev/sr1 /media/cdrom1 -t iso9660
Прописываем в /etc/apt/sources.list:
deb file:///media/cdrom0/ smolensk contrib main non-free
deb file:///media/cdrom1/ smolensk contrib main non-free
apt-get update.
apt-get install build-essential module-assistant libcrypto++-dev libssl-dev zlib-bin zlib1g-dev libpam0g-dev.
Удаляем openssh-server apt-get autoremove openssh-server
Создаем пользователя sshd , useradd sshd.
Скачиваем openssh wget https://mirror.yandex.ru/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Распаковываем скаченный архив в каталог /opt/openssh/ .
Заходим в каталог ./configure --with-pam --sysconfdir=/etc/ssh --prefix=/usr/ .
Выполняем команды make clean , make&&make install.
Создаем скрипт запуска в /init.d/ssh/
В файле /etc/sshd_config разкомментируем: Port 22 , PasswordAuthentication yes , UsePAM yes
chkconfig --add ssh
service ssh start
Подключаем два ISO-диска к ВМ (диск №1 и диск разработчика, обновления пакетов с диска обновлений не ставить, диск с обновлениями не вставлять !!!).
Монтируем эти диски в ОС в файловую систему.
mount /dev/sr0 /media/cdrom0 -t iso9660 - обычно монтируется автоматически.
mount /dev/sr1 /media/cdrom1 -t iso9660
Прописываем в /etc/apt/sources.list:
deb file:///media/cdrom0/ smolensk contrib main non-free
deb file:///media/cdrom1/ smolensk contrib main non-free
apt-get update.
apt-get install build-essential module-assistant libcrypto++-dev libssl-dev zlib-bin zlib1g-dev libpam0g-dev.
Удаляем openssh-server apt-get autoremove openssh-server
Создаем пользователя sshd , useradd sshd.
Скачиваем openssh wget https://mirror.yandex.ru/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Распаковываем скаченный архив в каталог /opt/openssh/ .
Заходим в каталог ./configure --with-pam --sysconfdir=/etc/ssh --prefix=/usr/ .
Выполняем команды make clean , make&&make install.
Создаем скрипт запуска в /init.d/ssh/
В файле /etc/sshd_config разкомментируем: Port 22 , PasswordAuthentication yes , UsePAM yes
chkconfig --add ssh
service ssh start
Последнее редактирование:
to delsky
Понятно, что openssh кроссплатформенный, что его можно легко скомпилировать в любой nix-системе...
Понятно желание иметь последнюю версию сервиса, устраняющую уязвимость. Странное для случая использования ОС, за которую вы заплатили производителю, который обязан устранять уязвимости и поддерживать актуализацию всех используемых "по умолчанию" сервисов...
Но, е-мое, если так хочется, есть же deb-пакет из соответствующей ветки Debian, который элементарно устанавливается через dpkg -i! Внедрение средств компилляции из исходников в состав ОС СН само по себе наносит куда как бОльший ущерб безопасности АС, которая будет в дальнейшем аттестована и предназначена для обработки информации, охраняемой законом. Равно как и обновление сервисов из источников, не предусмотренных руководствами и НМД...
ЗЫ Приведенный мануал, конечно, будет полезен страждущим - за это спасибо. Но, imho, предложенная цель и ее реализация принесут явный вред, если речь не идет об эксперименте ради эксперимента...
Понятно, что openssh кроссплатформенный, что его можно легко скомпилировать в любой nix-системе...
Понятно желание иметь последнюю версию сервиса, устраняющую уязвимость. Странное для случая использования ОС, за которую вы заплатили производителю, который обязан устранять уязвимости и поддерживать актуализацию всех используемых "по умолчанию" сервисов...
Но, е-мое, если так хочется, есть же deb-пакет из соответствующей ветки Debian, который элементарно устанавливается через dpkg -i! Внедрение средств компилляции из исходников в состав ОС СН само по себе наносит куда как бОльший ущерб безопасности АС, которая будет в дальнейшем аттестована и предназначена для обработки информации, охраняемой законом. Равно как и обновление сервисов из источников, не предусмотренных руководствами и НМД...
ЗЫ Приведенный мануал, конечно, будет полезен страждущим - за это спасибо. Но, imho, предложенная цель и ее реализация принесут явный вред, если речь не идет об эксперименте ради эксперимента...