内网环境的 Ubuntu ,没有互联网,昨天加班升级内核修了 CVE-2024-1086 Linux 提权漏洞,今天有接到通知又要修复 SSH 的 CVE-2024-6387 ,我记得之前也升级过 SSH ,当时操作失误导致连不上 SSH 跑到机房去修,导致现在修这类东西有点后怕了 想问下这类系统级的漏洞有没有比较安全的修复方式,现在是直接下载 deb 包安装上去或下载源码编译安装,每次都提心吊胆的怕升级后开不了机,虽然数据都做了备份,在测试环境也演练过,但还是不想用这种没有预期的修复方式
你新编译的 ssh 路径要和系统默认的区分开 端口也区分开 确认升级、启动成功了 再把原来默认的 ssh 服务关掉 或者你在装下 salt 相比 ansible 他是主动去连接服务器的 这样就是 ssh 都挂了 通过 salt 也可以进行操作
