内网环境如何安全的修复漏洞

79 天前
 chobits336

内网环境的 Ubuntu ,没有互联网,昨天加班升级内核修了 CVE-2024-1086 Linux 提权漏洞,今天有接到通知又要修复 SSH 的 CVE-2024-6387 ,我记得之前也升级过 SSH ,当时操作失误导致连不上 SSH 跑到机房去修,导致现在修这类东西有点后怕了

想问下这类系统级的漏洞有没有比较安全的修复方式,现在是直接下载 deb 包安装上去或下载源码编译安装,每次都提心吊胆的怕升级后开不了机,虽然数据都做了备份,在测试环境也演练过,但还是不想用这种没有预期的修复方式

1202 次点击
所在节点    问与答
13 条回复
dbak
79 天前
你新编译的 ssh 路径要和系统默认的区分开 端口也区分开 确认升级、启动成功了 再把原来默认的 ssh 服务关掉 或者你在装下 salt 相比 ansible 他是主动去连接服务器的 这样就是 ssh 都挂了 通过 salt 也可以进行操作
fmd12345
79 天前
不都是临时开个 telnet 吗?不能开?
Mrun
79 天前
下载升级包,去机房离线升级
Mrun
79 天前
@Mrun #3

https://developer.aliyun.com/article/532724
chobits336
79 天前
@dbak 不只是 ssh ,还有升级 linux 内核这种,有时候要连带升级 glibc 之类的可能会影响其他服务
chobits336
79 天前
@fmd12345 端口没有开,只有 ssh 和一个对外的业务端口
totoro625
79 天前
我遇到过升级完没任何问题,直到某一天 reboot 后炸了
villivateur
79 天前
内网镜像一份 Ubuntu 的 APT 源就行了
yinmin
78 天前
如果不涉密,ssh 把本地 proxy 端口映射到远程服务器,在 linux 上配置 http/https proxy 环境变量,apt update && apt upgrade
yinmin
78 天前
方案如下:
(1) 在你的笔记本电脑上先建本地的 http 代理,例如:127.0.0.1:7890

(2) 使用下面命令登录 ubuntu 服务器,登录后服务器的 7890 端口直连你笔记本电脑的 7890 端口
ssh -R 7890:127.0.0.1:7890 -C user@serverip

(4) 设置环境变量
export use_proxy=on
export http_proxy=http://127.0.0.1:7890
export https_proxy=http://127.0.0.1:7890
export all_proxy=http://127.0.0.1:7890
(5) 现在可以欢快的使用 apt update && apt upgrade

前提是 ubuntu server 不涉密!!
Yesr00
78 天前
运维的活真难干
chobits336
78 天前
@yinmin 请问 ssh -R 7890:127.0.0.1:7890 -C user@serverip 这条命令是在 ubuntu 服务器上执行连接我的电脑吗,连内网一般是单向通信的,中间可能有重重 net ,无法从内网连回来
yinmin
78 天前
@chobits336 #12 是在你的笔记本电脑上运行的,把原来的 ssh user@serverip 改成 ssh -R 7890:127.0.0.1:7890 -C user@serverip 即可

这几行是在 ubuntu 上运行的:
export use_proxy=on
export http_proxy=http://127.0.0.1:7890
export https_proxy=http://127.0.0.1:7890
export all_proxy=http://127.0.0.1:7890
apt update
apt upgrade

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054730

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX