OpenEuler 22.03 LTS SP3 CVE-2024-6387 OpenSSH 漏洞修复指南

最新推荐文章于 2025-07-04 11:09:27 发布
原创 最新推荐文章于 2025-07-04 11:09:27 发布 · 2.1k 阅读 · 25 ·
CC 4.0 BY-SA版权
本文是原创文章,采用 CC BY-NC-ND 4.0 协议,完整转载请注明来自 运维小弟
文章标签:

#服务器

一、漏洞概括

漏洞名称OpenSSH Server远程代码执行漏洞
漏洞编号CVE-2024-6387
公开时间2024-7-1CVSS 3.1分数8.1
威胁类型代码执行漏洞等级暂无
技术细节状态已公开在野利用状态不明确
PoC状态x86已公开EXP状态未公开

OpenSSH是SSH(Secure Shell)协议的开源实现,它支持在两个主机之间提供安全的加密通信,广泛用于Linux等系统,通常用于安全远程登录、远程文件传输和其它网络服务。

2024年7月1日,OpenSSH Server中存在的一个远程代码执行漏洞(CVE-2024-6387,又被称为regreSSHion)细节被公开,该漏洞影响基于glibc的Linux系统上的OpenSSH Server (sshd)。

默认配置下的OpenSSH Server (sshd)中存在信号处理程序竞争条件漏洞,如果客户端未在LoginGraceTime内(默认情况下为120秒,旧版OpenSSH中为600秒)进行身份验证,则sshd的SIGALRM处理程序将被异步调用,但该信号处理程序会调用非异步信号安全的函数,最终造成Double-Free内存管理问题。威胁者可利用该漏洞在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。根据已公开技术细节中的描述,在开启ASLR的i386设备上,利用该漏洞大约需要6-8小时获取root shell,在开启ASLR的amd64设备上则可能需要约一周左右。

二、影响范围

受影响版本8.5p1 <= OpenSSH < 9.8p1

注:OpenBSD系统不受该漏洞影响。

用户可执行sshd -V确认OpenSSH版本,目前该漏洞技术细节已在互联网上公开,鉴于影响范围较大,建议用户尽快做好自查及防护

三、安全措施

  • 自行升级 :目前OpenSSH上游已发布版本更新,受影响用户可通过软件源升级到最新版本(OpenSSH 9.8p1)或编译安装最新版本。

  • 通过软件源更新方法:

    • Debian/Ubuntu等:apt update && apt install openssh-server

    • OpenEuler/CentOS等:yum update openssh

更新后请使用systemctl restart sshd 等命令重启sshd服务

不同Linux发行版可能会自行维护OpenSSH安全补丁,请前往发行版的openssh-server软件包信息页面,确认漏洞修复情况。例如在openeuler22.03 LTSSP3 中,已发布openssh-8.8p1-31版本完成对本漏洞的修复。

如确有困难无法升级版本的,可采用缓解措施。在sshd配置文件(如/etc/ssh/sshd_config)中将LoginGraceTime设置为0,并重启sshd服务。请注意,使用该配置会导致MaxStartups连接耗尽,从而使sshd易受拒绝服务攻击,但可以缓解本漏洞的风险。也可使用iptables 等防火墙最小化控制SSH访问范围。

四、OpenEuler 22.03 LTS SP3 修复CVE-2024-6387

image-20240703100348342

前置条件,准备官方update源

这里我注释了metalink,因为有些镜像仓库还没去同步openeuler最新的update软件包,直接使用openeuler官方的源

[update]
name=update
baseurl=http://repo.openeuler.org/openEuler-22.03-LTS-SP3/update/$basearch/
#metalink=https://mirrors.openeuler.org/metalink?repo=$releasever/update&arch=$basearch
metadata_expire=1h
enabled=1
gpgcheck=1
gpgkey=http://repo.openeuler.org/openEuler-22.03-LTS-SP3/OS/$basearch/RPM-GPG-KEY-openEuler

[update-source]
name=update-source
baseurl=http://repo.openeuler.org/openEuler-22.03-LTS-SP3/update/source/
#metalink=https://mirrors.openeuler.org/metalink?repo=$releasever/update&arch=source
metadata_expire=1h
enabled=1
gpgcheck=1
gpgkey=http://repo.openeuler.org/openEuler-22.03-LTS-SP3/source/RPM-GPG-KEY-openEuler

yum update 更新

查看当前OpenSSH版本

[root@localhost yum.repos.d]# ssh -V
OpenSSH_8.8p1, OpenSSL 1.1.1wa  16 Nov 2023

#查看当前版本
[root@localhost yum.repos.d]# rpm -qa openssh
openssh-8.8p1-26.oe2203sp3.x86_64

使用yum update 更新OpenSSH软件包

[root@localhost ~]# yum clean all

[root@localhost ~]# yum makecache

[root@localhost ~]# yum update openssh*

image-20240703100824772

升级后重启sshd服务

[root@localhost ~]# systemctl restart sshd

#查看升级后的版本
[root@localhost ~]# rpm -qa openssh
openssh-8.8p1-31.oe2203sp3.x86_64

五、参考

  • https://inc.xmu.edu.cn/info/1031/6641.htm
  • https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2024-6387&packageName=openssh

来源于srebro.cn
© 版权声明
文章版权归作者所有,未经允许请勿转载。

OpenSSH远程代码执行漏洞CVE-2024-6387
qq_33163046的博客
07-02 1万+
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。OpenSSH 自 1995 年问世近 20 年来,首次出现了未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
OpenSSH远程代码执行漏洞(CVE-2024-6387)
看着博客敲代码
07-05 1168
针对这一漏洞,受影响的用户应尽快进行自查并采取相应的防护措施。最直接的修复方法是升级至 OpenSSH 的最新版本(9.8p1 及以上)
openssh9.8p1(解决CVE-2024-6387安全漏洞)各Linux操作系统的rpm包
forestqq的博客
07-04 6377
近日,奇安信CERT监测到官方修复OpenSSH 远程代码执行洞(CVE-2024-6387),该洞是由于OpenSSH服务器(sshd)中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。目前该漏洞技术细节已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。以下为本人编译的openssh9.8p1包。
修复OpenSSH 安全漏洞(CVE-2024-6387)
qianggezhishen的专栏
07-04 467
OpenSSH是一套用于安全网络通信的工具,提供了包括远程登录、远程执行命令、文件传输等功能 2024年7月1日,OpenSSH 官方发布安全通告,披露CVE-2024-6387 OpenSSH Server 远程代码执行漏洞漏洞成因为条件竞争,因此若要成功利用该漏洞,需要经过多次尝试,并需要绕过相关系统保护措施(如ASLR),在实际网络环境下利用难度较大,目前仅有针对32位机器的利用方案。注意,上述脚本适合于单次执行的情况,为了方便识别操作了哪些步骤,简化了,若需要可多次执行,则使用下面改进版本的。
OpenSSH Server 远程代码执行漏洞CVE-2024-6387)(附代码)
芜湖~米汤来喽~
07-02 3096
2024年7月1日,OpenSSH 官方发布安全通告,披露CVE-2024-6387 OpenSSH Server 远程代码执行漏洞
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略
超哥的博客
08-15 1920
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略1 漏洞简述1.1 漏洞成因1.2 漏洞影响1.3 处置优先级:高2 影响版本3 解决方案3.1 临时缓
CVE-2024-6387OpenSSH远程代码执行漏洞
耕耘
07-02 1308
sshd(8)中存在一处条件竞争漏洞,如果客户端在120秒内没有进行身份验证(由LoginGraceTime定义的设置),则sshd的 SIGALRM 处理程序会以一种非异步信号安全的方式异步调用,成功的利用此漏洞可以导致远程攻击者以root的权限执行远程代码。
OpenSSH Server远程代码执行漏洞CVE-2024-6387)解析学习
m0_73866290的博客
07-03 2052
通过精确控制信号的发送时机,攻击者可以在32位的目标系统上制造出有利于攻击的堆内存布局,并利用竞争条件执行恶意代码。:该章分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本人无关。:攻击者通过发送特定大小的数据包,可以制造出特定的堆内存布局,使内存中的敏感数据结构(例如函数指针)指向攻击者控制的恶意代码。:攻击者利用竞争条件,在正确的时间发送特定数据包,使得信号处理程序在处理过程中调用了不安全的函数,并导致执行攻击者控制的代码。
2024年7月1日,公布的OpenSSH漏洞CVE-2024-6387
sun0322
07-09 8708
========
OpenSSH 远程代码执行漏洞(CVE-2024-6387)
2301_76786857的博客
07-11 300
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序它可提供加密功能保护隐私和文件传输的安全使其成为远程服务器管理和安全数据通信的首选工具
别让黑客有机可乘!立即了解CVE-2024-6387OpenSSH的影响与防护措施
didiplus
07-03 1615
是一个影响OpenSSH的远程代码执行(RCE)漏洞。该漏洞存在于OpenSSH服务器(sshd)的信号处理程序中,由于在处理SIGALRM信号时的竞争条件,攻击者可以利用该漏洞执行任意代码。该漏洞主要影响基于glibc的Linux系统。受影响版本8.5p1
OpenSSH漏洞CVE-2024-6387),你修复了吗
weixin_43592627的博客
10-04 3053
关于openssh漏洞升级的方法
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略_openssh 漏洞
baimao__Ch的博客
08-29 837
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CVE-2024-6387OpenSSH漏洞解决方案与防护措施
Maynor的博客
07-08 1509
seccomp限制了sshd进程可以执行的系统调用,从而限制了攻击面并减少了利用不安全函数(如syslog())的可能性。实现seccomp确保即使触发了漏洞,攻击者执行任意代码的能力也会显著受限。通过遵循这些缓解策略,您可以保护系统免受此漏洞的影响,并增强OpenSSH配置的整体安全性。此漏洞的严重等级为“高”(CVSS 8.1),并可能导致具有 root 权限的未经身份验证的远程代码执行 (RCE)。要有效解决此漏洞,请升级到最新的 OpenSSH 版本,其中包括必要的修复程序。2.实施临时解决方法。
Linux系统OpenSSH出现漏洞CVE-2024-6387修复
Java程序员_编程开发学习笔记_网站安全运维教程_渗透技术教程
02-18 1596
CVE-2024-6387 是一个影响 OpenSSH 服务器(sshd)的严重远程代码执行(RCE)漏洞,它允许未经身份验证的攻击者在受影响的 Linux 系统上以 root 权限执行任意代码。此漏洞尤其危险,因为它可以在不需要任何用户交互的情况下被利用,并且在互联网上存在大量易受攻击的 OpenSSH 实例。
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
qq_53058639的博客
02-23 1152
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CVE-2024-6387:OpenSSH:远程代码执行漏洞,升级openssh至9.8p1版本;hdfs未授权访问漏洞,添加防火墙规则
tzdiyouda的博客
02-16 796
由于安全测试组扫描主机漏洞,扫出来两个安全漏洞,因此记录一下解决方法。CVE-2024-6387:OpenSSH:远程代码执行漏洞 解决办法:升级至9.8p1版本有关openssh的各个配置的作用、iptables命令的含义之后会单独整理出来。
OpenSSH Server远程代码执行漏洞CVE-2024-6387)|centos7升级到最新版本OpenSSH-9.8.p1
九步
07-11 945
漏洞名称OpenSSH Server远程代码执行漏洞CVE ID漏洞类型竞争条件发现时间2024-07-01漏洞评分暂无漏洞等级高危攻击向量网络所需权限无利用难度高用户交互无PoC/EXP未公开在野利用未发现OpenSSH是SSH(Secure SHell)协议的开源实现,它通过不安全的网络在两个不受信任的主机之间提供安全的加密通信。OpenSSH 广泛用于基于Unix 的系统,通常用于安全远程登录和远程文件传输,以及其它网络服务。
报错: error: Bad exit status from /var/tmp/rpm-tmp.HF0ZlX (%prep) RPM build errors: bogus date in %changelog: Wed Jan 01 2023 Your Name <email> - 10.0p1-1 Bad exit status from /var/tmp/rpm-tmp.HF0ZlX (%prep)
最新发布
07-08
<think>我们正在为openEuler 22.03 LTS aarch64构建openssh-10.0p1的RPM包。根据用户提供的错误信息,有两个主要问题: 1. 在%changelog中的日期格式不正确(bogus date in %changelog) 2. 构建过程中出现错误:Bad exit status from /var/tmp/rpm-tmp(可能是由于依赖缺失或配置问题) 另外,从引用[1]中我们看到一个错误:缺少x11-ssh-askpass-1.2.4.1.tar.gz文件。而引用[3]提到在编译过程中可能遇到缺少X11头文件的问题(如SMlib.h和ICElib.h)。 因此,我们需要: 1. 修正SPEC文件中%changelog的日期格式。 2. 解决构建过程中可能出现的依赖问题(特别是X11相关的依赖)。 3. 根据引用[1],我们可能需要下载x11-ssh-askpass的源码并放入SOURCES目录。 步骤调整如下: 步骤1:安装必要的依赖(包括X11开发包) 步骤2:下载openssh源码和x11-ssh-askpass源码(如果SPEC文件中需要) 步骤3:修正SPEC文件(注意日期格式和依赖处理) 步骤4:构建RPM 具体操作: 1. 安装依赖(增加X11开发包): ```bash sudo dnf install -y libX11-devel libXt-devel libSM-devel libICE-devel ``` 2. 下载openssh源码和x11-ssh-askpass源码: ```bash cd ~/rpmbuild/SOURCES wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-10.0p1.tar.gz wget https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f11e01c41285c7b6ce813d06/x11-ssh-askpass-1.2.4.1.tar.gz ``` 3. 修正SPEC文件(注意日期格式,必须是英文星期、月份缩写,且日期后跟年份): 例如:* Wed Jan 01 2023 Your Name <email> - 10.0p1-1 4.SPEC文件中,我们可能需要添加对x11-ssh-askpass的处理(如果openssh的构建需要它)。但是,从引用[1]的错误来看,SPEC文件期望有x11-ssh-askpass的源码。我们可以选择两种方式: a) 在SPEC文件中去掉对x11-ssh-askpass的构建(如果不需要)。 b) 保留并正确指定源码。 由于openssh默认不构建X11-askpass,我们可以通过配置选项禁用它。在configure时添加:`--without-x11-askpass`。 因此,我们在SPEC的%build部分修改configure选项: ```spec ./configure --prefix=/usr \ --sysconfdir=/etc/ssh \ --with-pam \ --with-md5-passwords \ --with-tcp-wrappers \ --without-x11-askpass # 添加这一行以避免构建x11-ssh-askpass ``` 5. 如果坚持要构建x11-ssh-askpass,那么需要确保源码存在,并在%prep阶段解压。但根据引用[4]的描述,我们可能不需要这个功能(尤其是在服务器上),所以建议禁用。 6. 修正%changelog中的日期格式,确保每行以*开头,然后是星期、月份、日期、年份、维护者信息。 7. 构建命令: ```bash rpmbuild -bb --target=aarch64 ~/rpmbuild/SPECS/openssh.spec ``` 下面提供一个修正后的SPEC文件示例(注意:我们禁用了x11-askpass,并修正了日期格式): ```spec Name: openssh Version: 10.0 Release: p1%{?dist} Summary: OpenSSH server and client programs License: BSD URL: https://www.openssh.com/ Source0: https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-%{version}p%{release}.tar.gz # 如果不需要x11-ssh-askpass,可以注释掉Source1,并且在构建过程中不使用 # Source1: x11-ssh-askpass-1.2.4.1.tar.gz BuildRequires: gcc make autoconf automake pam-devel openssl-devel zlib-devel BuildRequires: libX11-devel libXt-devel libSM-devel libICE-devel # 即使禁用了askpass,但可能其他部分需要X11头文件?如果不需要,可以去掉。但根据引用[3]的错误,还是安装这些依赖比较安全。 %description OpenSSH (OpenBSD Secure Shell) is a set of computer programs... %prep %setup -q -n openssh-%{version}p%{release} # 如果使用x11-ssh-askpass,则添加: # %setup -q -T -D -a 1 -n openssh-%{version}p%{release} %build # 禁用X11-askpass ./configure --prefix=/usr \ --sysconfdir=/etc/ssh \ --with-pam \ --with-md5-passwords \ --with-tcp-wrappers \ --without-x11-askpass make %{?_smp_mflags} %install rm -rf %{buildroot} make install DESTDIR=%{buildroot} %files %defattr(-,root,root,-) %doc CREDITS ChangeLog INSTALL LICENCE OVERVIEW README* TODO /etc/ssh/* /usr/bin/ssh* /usr/sbin/sshd %{_mandir}/man1/* %{_mandir}/man5/* %{_mandir}/man8/* %changelog * Wed Jan 01 2023 Your Name <email@example.com> - 10.0p1-1 - Initial build for openssh-10.0p1 ``` 注意:如果构建过程中仍然出现关于X11头文件的错误,可能是因为configure脚本检测到X11开发包存在而试图构建相关功能。我们通过`--without-x11-askpass`禁用了askpass,但可能还有其他X11相关的组件。如果不需要X11转发等功能,可以尝试添加`--without-x`选项。但通常服务器需要X11转发,所以建议保留X11支持,并确保安装了所有依赖。 如果构建成功,则按照之前的步骤验证。 如果用户不需要X11相关功能,也可以完全禁用X11: ```spec ./configure ... --without-x ``` 但这样会禁用X11转发等功能。请根据实际需求选择。 最后,关于引用[2]和[3]:在升级openssh时,需要备份原有文件,并在安装后还原配置文件(如sshd_config)。但我们的SPEC文件在安装时会覆盖这些文件吗?为了避免覆盖配置,我们可以在%post脚本中做处理,或者建议用户不要覆盖配置文件(使用rpm的配置文件处理机制)。但通常升级openssh时,配置文件不会被覆盖,因为rpm会保留修改过的配置文件。不过为了安全,最好在升级前备份配置文件(如引用[2]所示)。 因此,在安装新包之前,建议用户备份配置文件(如/etc/ssh/sshd_config等)。在SPEC中,我们可以将配置文件标记为配置文件,这样在更新时就不会覆盖用户修改过的配置。在%files部分,我们可以将配置文件标记为%config: ```spec %files ... %config(noreplace) /etc/ssh/sshd_config %config(noreplace) /etc/ssh/ssh_config ... ``` 这样,如果用户修改了这些文件,更新时不会覆盖,而是会生成.rpmnew文件。 综上所述,修正后的SPEC文件需要: 1. 修正日期格式。 2. 添加必要的BuildRequires(X11开发包)。 3. 添加configure选项`--without-x11-askpass`(或完全禁用X11,根据需求)。 4. 将配置文件标记为%config(noreplace)。 重新构建即可。 如果用户遇到其他错误,请根据日志具体分析。</think>### 解决 openssh-10.0p1 RPM 构建中的错误 根据您遇到的错误信息,以下是完整的解决方案: #### 1. **修复 %changelog 日期格式错误** 在 SPEC 文件中,%changelog 必须使用标准日期格式: ```spec %changelog * Wed Jan 01 2023 Your Name <email@example.com> - 10.0p1-1 - Initial build for openssh-10.0p1 ``` **关键要求**: - 日期格式:`星期 月 日 年`(如 `Wed Jan 01 2023`) - 必须使用英文月份缩写(Jan/Feb/Mar 等) - 用户名和邮箱需用`<>`包裹 #### 2. **解决文件缺失错误** ```bash # 下载缺失的 x11-ssh-askpass 源码 wget https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f11e01c41285c7b6ce813d06/x11-ssh-askpass-1.2.4.1.tar.gz \ -P ~/rpmbuild/SOURCES/ ``` #### 3. **修复 X11 头文件缺失错误** 安装必要的 X11 开发包: ```bash sudo dnf install -y libX11-devel libXt-devel libSM-devel libICE-devel ``` #### 4. **更新 SPEC 文件关键配置** ```spec # 在 %build 部分添加 X11 支持 %build ./configure --prefix=/usr \ --sysconfdir=/etc/ssh \ --with-pam \ --with-md5-passwords \ --with-tcp-wrappers \ --with-x \ --with-ssl-engine make %{?_smp_mflags} # 添加 x11-ssh-askpass 支持 Source1: x11-ssh-askpass-1.2.4.1.tar.gz %prep %setup -q -n openssh-%{version}p%{release} %setup -T -D -a 1 -n openssh-%{version}p%{release} # 添加此行处理第二个源码包 ``` #### 5. **完整的构建流程** ```bash # 1. 准备环境 sudo dnf groupinstall -y "Development Tools" sudo dnf install -y rpm-build openssl-devel pam-devel zlib-devel \ libX11-devel libXt-devel libSM-devel libICE-devel # 2. 设置构建目录 rpmdev-setuptree # 3. 下载源码 cd ~/rpmbuild/SOURCES wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-10.0p1.tar.gz wget https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f11e01c41285c7b6ce813d06/x11-ssh-askpass-1.2.4.1.tar.gz # 4. 创建修正后的 SPEC 文件(内容参考上述修正点) # 5. 构建 RPM cd ~/rpmbuild/SPECS rpmbuild -bb --target=aarch64 openssh.spec ``` #### 6. **安全安装指南** 安装前务必备份: ```bash # 备份关键文件 sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak sudo mv /usr/sbin/sshd{,.bak} sudo mv /usr/bin/ssh{,.bak} sudo mv /usr/bin/ssh-keygen{,.bak} ``` 安装后操作: ```bash # 恢复配置文件 sudo cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config # 验证版本 ssh -V ``` ### 关键注意事项 1. **安全更新**: OpenSSH-10.0p1 存在 CVE-2024-6387 漏洞,建议使用更高版本[^3] 2. **依赖解决**: 使用 `dnf provides &#39;*/SMlib.h&#39;` 查找缺失头文件的包 3. **离线构建**: 如需离线环境,提前下载所有依赖: ```bash dnf download --resolve --source openssl-devel pam-devel zlib-devel ``` 4. **SELinux 支持**: 添加 `--with-selinux` 配置选项并安装 `libselinux-devel` ### 常见错误解决方案 | 错误类型 | 解决方案 | |---------|---------| | `bogus date in %changelog` | 修正日期格式为 `* Wed Jan 01 2023 Name <email>` | | `X11/SM/SMlib.h: No such file` | 安装 `libSM-devel` 包 | | `/var/tmp/rpm-tmp` 错误 | 检查构建日志中的具体错误位置 | | 文件冲突 | 使用 `--replacefiles` 参数强制安装 | > 提示:建议使用更高版本如 OpenSSH 10.0p2 修复已知漏洞[^4]。构建成功后,通过 `rpm -qi openssh` 验证包信息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值