Вышла новая версия OpenSSH - 3.7
А в старых нашли проблему с буфером. Вроде експлойта быть не должно - максимум - упадок sshd, но такими вещами не шутят.
Тем не менее в security-related мейллистах прошла волна сообщений о взломах через последние (до 3.7) версии openssh. По слухам существует эксплойт который работает как минимум на FreeBSD и Linux.
народ памажыте.
Есть далекая-далекая тачка, на которую только ssh'хой ходить могу.
редхат 8
Када грю
rpm -ivh openssh-3.4p1-5.i386.rpm
оно отвечает, что типа
file /usr/bin/scp from install of openssh-3.4p1-5 conflicts with file from package openssh-3.4p1-2
file /usr/bin/ssh-keygen from install of openssh-3.4p1-5 conflicts with file from package openssh-3.4p1-2
и дальше всякое.
Как безболезненно переехать?
Ибо ипать миня будут жостко, если там что-то сляжет.
Лицензия у обычного SSH хоть и не опен, но зато его некоммерческий вариант не делает такой головной боли как openSSH, проблемам в котором уже и удивляться лень
2 anonymous (*) (2003-09-16 23:37:09.531928)
пасиба дорогой.
Стыд мне и срам.
error: Failed dependencies:
openssh = 3.4p1-2 is needed by (installed) openssh-clients-3.4p1-2
^^^^^^^^
openssh = 3.4p1-2 is needed by (installed) openssh-server-3.4p1-2
^^^^^^^^
Сцука. Ну как так можно.
Нда, товарищ... Тебе бы сначала на рабочей станции потренироваться, а потом на сервер лесть, за который тебя "жостоко" могут кхе кхе. Пока ты совсем слаб. Тут даже и советовать пока нечего.
Свои фолты я прекрасно знаю. РХ - не пользовал, уж оченно стремная (читай: незнакомая) штука. Достался сервак по наследству. С пакетами ее экспириенса не имею. Под рукой шапки нет, проверить не могу. Спрашиваю, чтобы не ошибиться. Ибо ошибаться не имею права.
P.S. Могу и пиписьками померяться, если сильно хоцца.
2 anonymous (*) (2003-09-16 23:52:01.284552)
Спасибо друг дорогой. Будешь у нас на колыме - напою пивом :)
2anonymous (*) (2003-09-16 23:56:28.92083)
Лучше уж вы к нам:)
PS
В принципе если нет желания пофлеймить, то на ЛОР лучше с техническими вопросами не обращаться. Помочь не помогут но грязью обольют
Лучше на linux.ru.net- он модерируется и народ там подоброжелательней
Ой да и даунь себе на здоровье и ходи по тельнету на недосягаемые сайты, а если ssh просто для понтов открыт был (чтобы так между делом в форуме сказать "фсё блять дауню ssh") то че тогда и пиздеть?
Было время когда все было ровно наоборот. Везде стоял коммерческий ssh, а openssh тока у маргиналов. тогда все ломали коммерческий ssh и складывалось впечатление что openssh неуязвим. А теперь роли неуловимого джо сменились ;)
>Ой да и даунь себе на здоровье и ходи по тельнету на недосягаемые сайты, а если ssh просто для понтов открыт был (чтобы так между делом в форуме сказать "фсё блять дауню ssh") то че тогда и пиздеть?
Чувак, ты понятия клиента и сервера различаешь? Прочитай что сам написал то... SSH открыт чтобы из дома можно было рабочую машину поковырять, теперь всё плохо, хоть и стоит watchdog, который ssh опустит при появлении левых соединений, - это не панацея ...
>> теперь всё плохо, хоть и стоит watchdog, который ssh
>> опустит при появлении левых соединений, - это не панацея ...
а можно чуть подробнее об организации такой системы?
Пример rpm -Uvh openssh-3.5p1-9.ia64.rpm openssh-clients-3.5p1-9.ia64.rpm openssh-askpass-3.5p1-9.ia64.rpm openssh-server-3.5p1-9.ia64.rpm
Для начала проверь что стоит. rpm -qa | grep openssh
В общем фокуса два: 1 rpm -U вместо -i 2 В один раз все должен проапдейтить (укажи сразу список RPM файлов), что бы не париться зависимоятми 4 или 5 пакетов от openssh ( есть еще пакет openssh-askpass-gnome-3.1*, но я его тюк rpm -e openssh-askpass-gnome.....)
Собственно все, только COPY/PASTE с экрана не делай, имена пакетов могут иметь иной вид. Ну и man rpm поможет.
Перед апдейтом ssh рекомендуется, например, поднять telnet.
Паранойя хороша, но не до такой же степени!
Подняли телнет, зашли под служебным эккаунтом, проапдейтили ssh, рестартовали сервис, проверили... Не работает - по телнету вперед. Ни один провайдер не станет слушать ваш траффик - вы ему нах не нужны, и ваш занюханый сервер тоже. А просниферить могут только провайдеры. В крайнем случае, после апдейта зайдете по ssh и смените пароль на сервисный эккаунт - делов то...
В нормальных дистрибутивах это делается так:
kill `cat /var/run/sshd.pid`
так что service sshd restart можно делать спокойно (да он и сам перезапустится после обновления в нормальном-то дистре :)