Не работает аутентификация по паролю openssh-server 8.1

delsky

New member
Сообщения
5
#1
Добрый день, дистрибутив Astra Linux SE 1.5 Смоленск.
Собрали пакет openssh-server 8.1 из исходников , но до настоящего времени не получается аутентифицироваться по логину и паролю , в чем может быть проблема ?
 

delsky

New member
Сообщения
5
#4
1. Из какого исходника? откуда взяли?
2. По какой инструкции, документации?
3. А кто вам сказал, что приложение, собранное в защищённой ОС станет работать?
1. https://mirror.yandex.ru/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
2.Тех. поддержка Астра линукс прислала инструкцию по сборке пакетов:
apt-get build-essential module-assistant libcrypto++-dev libssl-dev zlib-bin zlib1g-dev
./configure
make & make install
3.Тогда каким образом пройти аттестацию системы, если в ней есть пакет - устаревшая версия openssh-6.0.p1 имеющий уязвимости ?
 

delsky

New member
Сообщения
5
#5
1. Из какого исходника? откуда взяли?
2. По какой инструкции, документации?
3. А кто вам сказал, что приложение, собранное в защищённой ОС станет работать?
Приложение работает , при запуске не возвращает никаких ошибок, слушает себе 22 порт, sshd_config используется с рабочего хоста, настроена аутентификация по паролю. Вводим правильные логин и пароль в ответ получаем access denied.
 

oko

New member
Сообщения
107
#7
to delsky
3.Тогда каким образом пройти аттестацию системы, если в ней есть пакет - устаревшая версия openssh-6.0.p1 имеющий уязвимости ?
Для начала следует поглядеть перечень обновлений безопасности, выложенный в соответствующем разделе сайта производителя, на предмет исправлений уязвимого сервиса (не только openssh касается)...
Если в обновлениях оного исправления нет, писать официальную жалобу в РусБинТех на предмет внесения исправлений (потому что проблема сторонних утилит/сервисов, поставляемых в Astra Linux "из коробки", - это проблема Astra Linux в целом, ага). Если откажутся/затянут - писать напрямую регулятору, выдавшему сертификат на тот дистрибутив, который имеется у вас, с описанием проблемы. Причем эти запросы должен оформлять орган по аттестации, не желающий выдавать аттестат на АС, где используется Astra Linux SE с оным уязвимым сервисом...
И это при условии, что наличие уязвимости оправдано в рамках технологического процесса обработки информации, реализованного в АС. И влияет на оконечную защищенность АС. И не перекрывается другими мерами и средствами, принятыми по линии инфобеза в АС...
Но уж никак не качать сорцы из Сети, без полноценного аудита исходного кода, тем более из репы OpenBSD (!), и не компилить их вручную в среде дистрибутива с бинарной идеалогией, блин...
 

delsky

New member
Сообщения
5
#8
Может кому-нибудь пригодится:

Подключаем два ISO-диска к ВМ (диск №1 и диск разработчика, обновления пакетов с диска обновлений не ставить, диск с обновлениями не вставлять !!!).
Монтируем эти диски в ОС в файловую систему.
mount /dev/sr0 /media/cdrom0 -t iso9660 - обычно монтируется автоматически.
mount /dev/sr1 /media/cdrom1 -t iso9660
Прописываем в /etc/apt/sources.list:
deb file:///media/cdrom0/ smolensk contrib main non-free
deb file:///media/cdrom1/ smolensk contrib main non-free
apt-get update.
apt-get install build-essential module-assistant libcrypto++-dev libssl-dev zlib-bin zlib1g-dev libpam0g-dev.

Удаляем openssh-server apt-get autoremove openssh-server
Создаем пользователя sshd , useradd sshd.
Скачиваем openssh wget https://mirror.yandex.ru/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Распаковываем скаченный архив в каталог /opt/openssh/ .
Заходим в каталог ./configure --with-pam --sysconfdir=/etc/ssh --prefix=/usr/ .
Выполняем команды make clean , make&&make install.
Создаем скрипт запуска в /init.d/ssh/
В файле /etc/sshd_config разкомментируем: Port 22 , PasswordAuthentication yes , UsePAM yes
chkconfig --add ssh
service ssh start
 
Последнее редактирование:

oko

New member
Сообщения
107
#9
to delsky
Понятно, что openssh кроссплатформенный, что его можно легко скомпилировать в любой nix-системе...
Понятно желание иметь последнюю версию сервиса, устраняющую уязвимость. Странное для случая использования ОС, за которую вы заплатили производителю, который обязан устранять уязвимости и поддерживать актуализацию всех используемых "по умолчанию" сервисов...
Но, е-мое, если так хочется, есть же deb-пакет из соответствующей ветки Debian, который элементарно устанавливается через dpkg -i! Внедрение средств компилляции из исходников в состав ОС СН само по себе наносит куда как бОльший ущерб безопасности АС, которая будет в дальнейшем аттестована и предназначена для обработки информации, охраняемой законом. Равно как и обновление сервисов из источников, не предусмотренных руководствами и НМД...

ЗЫ Приведенный мануал, конечно, будет полезен страждущим - за это спасибо. Но, imho, предложенная цель и ее реализация принесут явный вред, если речь не идет об эксперименте ради эксперимента...