我把生产服务器干烂的后续

83 天前
 xiaozhu317

我把生产服务器干烂的后续

之前的情况请移步: https://www.v2ex.com/t/1059898#reply74

6033 次点击
所在节点    程序员
40 条回复
NxxRngjnbgj
83 天前
建议编译源码,很简单,arm 平台就交叉编译,我们升级把原来默认的停掉,备份/etc/ssh(看操作系统,基本都是这个)目录下的所有文件,自己写个 service 文件关联编译的二进制文件,然后扔到 systemd 下,然后以 sshd1234567(根据 service 服务名来)启动,结束,但是你以为这是最简单的么,有个项目领导来了一句:把服务停了就行,扫完再打开。我的评价是:6🤣
gesse
83 天前
可以先开 telnet 登录,然后用 telnet 登录上去搞,

成功了再关掉 telnet 。
pexcn
83 天前
liaohongxing
83 天前
尽量选用有维护的系统,比如 ubuntu server lts , debian 等等,这种漏洞就一个 sudo apt update && sudo apt upgrade 的事情,自己编译,破坏二进制路径/文件不说,生产中还容易失联断网 。用自带的包管理升级吧
Dlin
83 天前
学到了:操作生产服务器要小心行事儿
zhywang
83 天前
赞,作为一个毕业才三个月的新人,楼主的执行力和自省力可以说是杠杠的了
k9982874
83 天前
不是你还真敢直接升级啊,1 楼说的源码编译才是最安全的
kk2syc
83 天前
物理服务器一般都有 ipmi/iDRAC ,云服务器(VPS)都提供 vnc ,sshd 说实话随便折腾都不要紧,只能说你没想明白关键。
abolast
83 天前
为什么要编译,包管理器不好用么。另外,机器用 wirgurad 组网,通过内网连 ssh 多安全,雷打不动
abolast
83 天前
另外,我记得那次的 ssh 漏洞好像只对一部分版本起作用吧,RHEL8 这个级别的不需要担心,要担心的是 RHEL9
hancai2
83 天前
容器化部署的话,升级 glibc openssh openssl 一般也不会对业务有影响,升级失败大不了用 VNC 连接修复。 不过你才毕业几个月,你们上级也是心大。就算是运维岗,才毕业三个月的我也不敢让他去单独升级。
wheat0r
83 天前
其实我一直觉得程序员、DBA 都应该要有基本的操作系统运维能力,不然工作很难开展
jackmod
83 天前
glibc 版本啊,死去的记忆在攻击我。
当年在嵌入式行业每时每刻都在被这 b 玩意坑。
wuhunyu
83 天前
@wheat0r 升级 OpenSSH 算是基本的操作系统运维能力吗
xiaozhu317
83 天前
@abolast 我们甚至是 6.x
kayleh
83 天前
非要升级可以先去打快照,若 openssh 无法升级,可通过在服务器的防火墙或 hosts.deny 和 hosts.allow 配置访问控制策略,仅允许个别 IP 访问 22 端口,以此降低漏洞被利用的可能性。
yyzh
83 天前
@liaohongxing 如果是 ubuntu 的话这步都不用做.系统自带类似 windows update 的东西.会自己自行更新的
rrfeng
83 天前
把 glibc 干死了 telent 也不行了吧(当然已开启的应该不受影响
z131
83 天前
老系统 版本依赖太多了,有时候没法升级的,要求不高的话可以试着修改本地软件版本号。因为大部分漏洞扫描设备都是校验版本号而不是原理性扫描
xiaozhu317
83 天前
@zhywang 我感觉我会的都是皮毛中的皮毛

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1076051

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX