web-dev-qa-db-ja.com

PCIコンプライアンスのためのWebサーバー(Ubuntu)でのOpenSSHのアップグレード

弊社のWebサーバーでPCI準拠のためにOpenSSHをアップグレードしようとしています。しかし、私は一生の間、これを行う方法を理解することはできません。

SSH経由で次のコマンドを試しました(出力と組み合わせて):

# ssh -V
OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009

# Sudo apt-get install openssh-server openssh-client
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
openssh-client is already the newest version.
The following packages were automatically installed and are no longer required:
  [list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 72 not upgraded.

# apt-get install openssh-server
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
The following packages were automatically installed and are no longer required:
  [list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 73 not upgraded.

*読みやすくするためにリストを削除しました。

これが適切かどうかはわかりませんが、apt-get upgradeも実行しました。このシステムでは定期的に更新が行われていないようです(ただし、以前から何かが壊れないように、何もアップグレードしていません)。私はこの仕事の前にシステム管理者の経験がまったくないので、その情報を投稿することが何かを危うくするかどうかわからないので、必要でない限りそうすることを差し控えます。

3
jperezov

ちなみに、DebianやRedHatなどの人々は、ソフトウェアを最新バージョンに完全にアップグレードしなくても、セキュリティ修正をパッケージにバックポートします。これは、メジャーリリースでバージョンの安定性を維持するためです(つまり、RHEL 6.5を実行している場合、OpenSSH 6.4が現在利用可能であっても、OpenSSH 5.3p1を実行します)。

PCIスキャンは、報告されているバージョン番号のみを調べている可能性があります。パッケージの変更ログをチェックして、これらの特定の脆弱性が対処されていることを確認する必要があります(つまり、CVE-xxxxはスキャンによってフラグが付けられ、バージョン5.4に影響します。パッケージの変更ログには、そのCVEの修正がバックポートされたことが示されます-そして-5.3p1までのそのような日付)。おそらく、あなたが最新の状態であれば、何もすることはありません。

あなたcan PCI要件を満たすために、最新かつ最高のOpenSSH(またはその他のソフトウェア)をインストールします。誰もあなたがそれをするのを止めることはありません。このアプローチの問題は、おそらく独自のパッケージを構築するという観点から、カスタムインストールされたソフトウェアをアップグレードしたままにする責任を負わなければならない可能性があることです(ただし、opensshでは、パッケージに最近のバージョンがあるリポジトリがどこかにある可能性があります) 、またはRed HatまたはCanonicalよりもはるかに小さなエンティティに依存して、最新のパッケージを出し続けます。この場合に起こりがちなのは、新たな脆弱性が出てくることであり、注意を払わないと遅れを取り始めます。物事を最新の状態に保つことが仕事である誰かに頼り、何も壊れないことを示すためのQAプロセスがあることを確認することをお勧めします。 Red HatやCanonicalなどの人々に仕事をさせ、自分の好きなようにバックポートを適用してから、PCIスキャンにアスタリスクを付けます。あなた本当にあなた自身のパッケージを維持したくない。

管理の観点からは、PCIスキャナーは、脆弱性が存在する可能性のある場所を示すのに役立つツールと見なす必要があります。 (やや鈍い)ツールの結果をどうするかは、管理上の決定です(つまり、これが内部的なものである場合は、スキャンレポートの内容に関係なく、この問題が修正されたことを社内でメモします。外部で使用する場合は、問題がすでに修正されていること、およびUbuntuのパッケージから外れることはないことを関係者に伝える必要があります。これは、より悪いオプションです。)一般的なシステムよりもシステムに関する知識が豊富です。目的スキャナー。

7
cjc