A vulnerabilidade CVE-2024-6387 afeta versões anteriores do OpenSSH e pode ser corrigida atualizando para a versão mais recente. Este tutorial guiará você pelo processo de baixar, compilar e instalar a versão mais recente do OpenSSH, garantindo que sua instalação esteja segura contra esta vulnerabilidade.
*primeiro lembre de fazer uma cópia de segurança do seu arquivo etc/ssh/sshd_config , se você tiver configuração 2FA ativa no seu SSH lembre de desabilitar, e após atualizar adicionar novamente as configurações.
Passo 1: Baixar e Preparar a Compilação
Primeiro, vamos baixar e preparar a compilação do OpenSSH mais recente.
Instalar Dependências de Compilação
Execute os seguintes comandos para atualizar o sistema e instalar as dependências necessárias:
apt update
apt install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev wget -yBaixar a Versão Mais Recente do OpenSSH
Navegue até o diretório /usr/local/src e baixe o pacote mais recente do OpenSSH:
cd /usr/local/src
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1Passo 2: Compilar e Instalar
Agora, vamos compilar e instalar o OpenSSH:
./configure
make
make installCaso você use configuração 2FA no seu ssh o primeiro comando da compilação use:
./configure --with-pamPasso 3: Verificar a Versão Atualizada
Após a instalação, verifique a versão do OpenSSH para garantir que a atualização foi bem-sucedida:
/usr/local/bin/ssh -VPasso 4: Atualizar o PATH
Certifique-se de que o novo OpenSSH está no PATH correto.
Adicione /usr/local/bin ao PATH:
export PATH=/usr/local/bin:$PATHAdicione essa linha ao seu arquivo de perfil (~/.bashrc ou ~/.profile) para torná-la permanente:
echo 'export PATH=/usr/local/bin:$PATH' >> ~/.bashrc
source ~/.bashrcPasso 5: Verificar o Serviço SSH
Reinicie o serviço SSH para garantir que ele está usando a nova versão. Tenha muito cuidado para não interromper sua conexão SSH atual:
systemctl restart sshPasso 6: Complemento e confirmação
Após um e-mail de um leitor, foi verificado que alguns sistemas operacionais mantem a execução da versão antiga mesmo depois de reiniciar, para verificar se é o seu caso é muito fácil, basta digitar:
ps aux|grep sshSe ele retornar o caminho ativo em /usr/sbin/sshd, basta executar o comando para ver a versão em funcionamento:
/usr/sbin/sshd -vSe ela lhe retornar a versão antiga, para aplicar a nova versão compilada basta apenas adicionar o seguinte comando:
ln -sf /usr/local/sbin/sshd /usr/sbin/sshdDepois basta apenas reiniciar seu SSH:
systemctl restart sshE asseguir você pode verificar novamente a versão:
/usr/sbin/sshd -vque irá verificar a versão nova em funcionamento.
Se você possuir alguma modificação no seu SSHD_Config fixe a seguinte configuração:
edite o arquivo /etc/systemd/system/sshd.service:
vim /etc/systemd/system/sshd.serviceAltere a linha ExecStart á deixando assim:
ExecStart=/usr/local/sbin/sshd -D -f /etc/ssh/sshd_configseu arquivo irá ficar assim:
[Unit]
Description=OpenBSD Secure Shell server
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run
[Service]
EnvironmentFile=-/etc/default/ssh
ExecStartPre=/usr/sbin/sshd -t
ExecStart=/usr/local/sbin/sshd -D -f /etc/ssh/sshd_config
ExecReload=/usr/sbin/sshd -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
[Install]
WantedBy=multi-user.target
Alias=sshd.servicebasta depois apenas aplicar:
systemctl daemon-reload
systemctl restart sshd
systemctl status sshdInformações
Versão antigas como Debian 8/9, Ubuntu 16 e Ubuntu 18, não possuem OpenSSL superior á versão 1.1.1 que é a necessária para a nova versão do OpenSSH, então antes de compilar e configurar em seu servidor é necessário atualizar a versão do OpenSSL e garantir seu funcionamento, para depois seguir com a compilação da nova versão do OpenSSH.
Criamos um Tutorial de atualização do OpenSSL para lhe ajudar com a correção da CVE-2024-6387:
Acesse o tutorial clicando aqui
Dicas da Dolutech:
Utilizar uma senha de 32 Caracteres
Conclusão
Seguindo os passos acima, você terá atualizado o OpenSSH para a versão mais recente, corrigindo a vulnerabilidade CVE-2024-6387. É crucial manter seu software atualizado para proteger seu sistema contra vulnerabilidades conhecidas e potenciais ataques. Verifique regularmente a existência de novas atualizações e patches de segurança para manter sua infraestrutura segura.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
