Atualizando o OpenSSH no servidor da Web (Ubuntu) para Conformidade com PCI

3

Estou tentando atualizar o OpenSSH para conformidade com o PCI no servidor da web de nossa empresa. Eu não posso para a vida de mim descobrir como fazer isso embora.

Eu tentei os seguintes comandos via SSH (juntamente com suas saídas):

# ssh -V
OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009
# sudo apt-get install openssh-server openssh-client
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
openssh-client is already the newest version.
The following packages were automatically installed and are no longer required:
  [list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 72 not upgraded.
# apt-get install openssh-server
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
The following packages were automatically installed and are no longer required:
  [list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 73 not upgraded.

* Eu removi a lista para facilitar a leitura.

Não tenho certeza se isso é relevante, mas também executei o apt-get upgrade, e parece que as atualizações não foram feitas regularmente neste sistema (eu não atualizei nada, para não quebrar algo de antes) . Como eu tenho zero experiência de administração de sistemas antes deste trabalho, não sei se postar essas informações comprometeria qualquer coisa, então eu não o farei, a menos que seja necessário.

    
por jperezov 22.01.2014 / 14:45

1 resposta

7

Apenas para notar, pessoas como o Debian, RedHat, etc., farão o backport das correções de segurança para seus pacotes, sem realmente fazer o upgrade completo do software para as versões mais recentes. Isso é para manter a estabilidade da versão em suas principais versões (ou seja, se você estiver executando o RHEL 6.5, estará executando o OpenSSH 5.3p1, embora o OpenSSH 6.4 esteja disponível atualmente).

A verificação da PCI provavelmente está apenas olhando para o número da versão que está sendo relatada. Você deve verificar o changelog do pacote para verificar se essas vulnerabilidades específicas foram tratadas (ou seja, o CVE-xxxx está sendo sinalizado pela varredura e afeta a versão 5.4; o changelog do pacote dirá que a correção para esse CVE foi retornada para tal) -a data para 5.3p1). Provavelmente, se você está atualizado, não há nada para fazer.

Você pode instalar o OpenSSH mais recente e melhor (ou qualquer outro software) para atender aos requisitos PCI. Ninguém vai impedi-lo de fazer isso. O problema com essa abordagem é que você pode ter que assumir a responsabilidade de manter seu software personalizado instalado atualizado, possivelmente em termos de construir seus próprios pacotes (embora, com o openssh, provavelmente haja algum repositório em algum lugar que tenha versões recentes em pacotes) ou confiar em uma entidade muito menor que a Red Hat ou a Canonical para manter pacotes atualizados. O que tende a acontecer neste caso é que novas vulnerabilidades serão reveladas e, a menos que você preste atenção, você começará a ficar para trás. É melhor confiar em alguém cujo trabalho é manter as coisas atualizadas e garantir que haja um processo de controle de qualidade para mostrar que nada será quebrado. Deixe as pessoas da Red Hat, Canonical, etc., fazerem seus trabalhos e aplicarem seus backports da maneira que quiserem, e depois colocaremos um asterisco na varredura PCI. Você realmente não quer manter seus próprios pacotes.

Do ponto de vista da gerência, o scanner PCI deve ser visto como uma ferramenta para ajudar a mostrar onde você pode ter vulnerabilidades; o que você faz com os resultados da sua ferramenta (um tanto grosseira) é mais uma decisão gerencial (ou seja, se isso é interno, basta anotar em sua própria empresa que esse problema é corrigido, independentemente do que o relatório de verificação mostra; se for para uso externo, você precisa comunicar às partes interessadas que o problema já está corrigido e que você não se desviará do pacote do Ubuntu, porque essa é uma opção pior.) Você pode ter um conhecimento melhor de seus sistemas do que um problema geral. scanner de propósito.

    
por 23.01.2014 / 19:56