yumを介してOpenSSHを最新の安定バージョンに更新する

Question

CentOS 5.7を実行していて、OpenSSHを最新の安定バージョンにアップグレードする必要があります（PCIコンプライアンスの問題）。ただし、CentOSyumリポジトリから入手できる最新バージョンは4.3p2です。 yumを使用して最新の安定バージョンに更新するにはどうすればよいですか？セットアップする必要がある別のリポジトリはありますか？

Shane Madden · Accepted Answer

セキュリティ修正に関する限り、これで準備は完了です。あなたのコンプライアンススキャナーは間違っているものです。

これらのスキャナーの多くは、バージョン文字列のチェック（この場合、OpenSSHがバージョンを含む接続クライアントに送信する文字列のチェック）を介して脆弱性検出を行います。これは、これらのスキャナーが「問題X OpenSSHバージョン5.whateverで修正されました。実際に使用しているバージョンに関係なく、ApacheサーバーをServerTokens Majorに変更して、スキャナーが2.0の脆弱性の束で点灯するのを確認してください。

スキャンがどの脆弱性を持っていると考えているかを正確に把握し、RPMの変更ログでそれらを見つけ、スキャンの検出が誤検知である証拠としてスキャンベンダーに現在のバージョンを送信します。そしてこのリンク、良い測定のために。

Stefan Lasiewski · Answer

RedHat すべてのセキュリティ修正をバックポート安定バージョンのSSHに組み込むことに注意してください。

したがって、yum update opensshwillを使用して、オペレーティングシステムの最新の安定したパッチバージョンに更新します。これは、適切なPCIコンプライアンス要件には十分なはずですが、PCIコンプライアンス担当者の一部の教育が必要になる場合があります。

いくつかの役立つヒントについては、この関連する質問も参照してください。 CentOS PCIコンプライアンス評価

jeffatrackaid · Answer

PCIスキャン会社ごとに異なる方法がありますが、通常、結果を誤検知として争うことができます。

現在のOSバージョン、SSHバージョン、およびインストール時期を提供します。

私が使う

rpm -qa --last|grep "name"

ここで、nameは、関心のあるサービスのrpmの名前です。この場合、「ssh」で十分です。

彼らにこのデータを送ってください。ほとんどの場合、これで通常は十分です。

joschi · Answer

OpenSSH 4.3p2は、CentOS4.7で公式にサポートされているOpenSSHの唯一のバージョンです。

もちろん、OpenSSHのより新しいバージョンのパッケージを自分でビルドすることもできますが、これで「PCIコンプライアンスの問題」が解決されるとは思えません。

OpenSSH 4.3p2で正確にどのような問題がありますか？

leela · Answer

PCIに準拠するために、centos7（openssh6.6）のopensshをopenssh7.5（最新バージョン）に最近アップグレードする必要がありました。私はこれを参照しましたブログアップグレードします。これがopensshのcentos7アップグレードに役立つことを願っています。