V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
chobits336
V2EX  ›  问与答

内网环境如何安全的修复漏洞

  •  
  •   chobits336 · 140 天前 · 1287 次点击
    这是一个创建于 140 天前的主题,其中的信息可能已经有所发展或是发生改变。

    内网环境的 Ubuntu ,没有互联网,昨天加班升级内核修了 CVE-2024-1086 Linux 提权漏洞,今天有接到通知又要修复 SSH 的 CVE-2024-6387 ,我记得之前也升级过 SSH ,当时操作失误导致连不上 SSH 跑到机房去修,导致现在修这类东西有点后怕了

    想问下这类系统级的漏洞有没有比较安全的修复方式,现在是直接下载 deb 包安装上去或下载源码编译安装,每次都提心吊胆的怕升级后开不了机,虽然数据都做了备份,在测试环境也演练过,但还是不想用这种没有预期的修复方式

    13 条回复    2024-07-04 17:39:58 +08:00
    dbak
        1
    dbak  
       140 天前
    你新编译的 ssh 路径要和系统默认的区分开 端口也区分开 确认升级、启动成功了 再把原来默认的 ssh 服务关掉 或者你在装下 salt 相比 ansible 他是主动去连接服务器的 这样就是 ssh 都挂了 通过 salt 也可以进行操作
    fmd12345
        2
    fmd12345  
       140 天前
    不都是临时开个 telnet 吗?不能开?
    Mrun
        3
    Mrun  
       140 天前
    下载升级包,去机房离线升级
    Mrun
        4
    Mrun  
       140 天前
    chobits336
        5
    chobits336  
    OP
       140 天前
    @dbak 不只是 ssh ,还有升级 linux 内核这种,有时候要连带升级 glibc 之类的可能会影响其他服务
    chobits336
        6
    chobits336  
    OP
       140 天前
    @fmd12345 端口没有开,只有 ssh 和一个对外的业务端口
    totoro625
        7
    totoro625  
       140 天前   ❤️ 1
    我遇到过升级完没任何问题,直到某一天 reboot 后炸了
    villivateur
        8
    villivateur  
       140 天前
    内网镜像一份 Ubuntu 的 APT 源就行了
    yinmin
        9
    yinmin  
       140 天前 via iPhone
    如果不涉密,ssh 把本地 proxy 端口映射到远程服务器,在 linux 上配置 http/https proxy 环境变量,apt update && apt upgrade
    yinmin
        10
    yinmin  
       140 天前   ❤️ 1
    方案如下:
    (1) 在你的笔记本电脑上先建本地的 http 代理,例如:127.0.0.1:7890

    (2) 使用下面命令登录 ubuntu 服务器,登录后服务器的 7890 端口直连你笔记本电脑的 7890 端口
    ssh -R 7890:127.0.0.1:7890 -C user@serverip

    (4) 设置环境变量
    export use_proxy=on
    export http_proxy=http://127.0.0.1:7890
    export https_proxy=http://127.0.0.1:7890
    export all_proxy=http://127.0.0.1:7890
    (5) 现在可以欢快的使用 apt update && apt upgrade

    前提是 ubuntu server 不涉密!!
    Yesr00
        11
    Yesr00  
       140 天前
    运维的活真难干
    chobits336
        12
    chobits336  
    OP
       140 天前
    @yinmin 请问 ssh -R 7890:127.0.0.1:7890 -C user@serverip 这条命令是在 ubuntu 服务器上执行连接我的电脑吗,连内网一般是单向通信的,中间可能有重重 net ,无法从内网连回来
    yinmin
        13
    yinmin  
       140 天前   ❤️ 1
    @chobits336 #12 是在你的笔记本电脑上运行的,把原来的 ssh user@serverip 改成 ssh -R 7890:127.0.0.1:7890 -C user@serverip 即可

    这几行是在 ubuntu 上运行的:
    export use_proxy=on
    export http_proxy=http://127.0.0.1:7890
    export https_proxy=http://127.0.0.1:7890
    export all_proxy=http://127.0.0.1:7890
    apt update
    apt upgrade
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 19:33 · PVG 03:33 · LAX 11:33 · JFK 14:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.