OpenSSH漏洞修复X11-forwarding
最近服务器检测到:OpenSSH xauth 输入验证漏洞 (CVE-2016-3115)。
有两种修复方案:
- 升级OpenSSH到7.2p2及以上版本,需确认机器已安装的软件包中不存在低版本openssh组件,例如可通过执行rpm -qa | grep openssh查看。
- 设置sshd_config的X11Forwarding选项为no
- 由于升级openssh会影响系统正常运行,于是采取设置sshd_config中的X11Forwarding选项为no。
一、编辑sshd_config文件。
vim /etc/ssh/sshd_config
二、修改X11Forwarding 配置为no。
image.png
下面是我们讨论修改选项的影响:
什么是X11-forwarding?
X11 中的 X 指的就是 X 协议;11 指的是采用 X 协议的第 11 个版本。
X11-forwarding 说的简单明白点就是:可以通过一个支持 X Server 的 SSH 客户端,例如:MobaXterm。 连接到远程 Linux 服务器,可以在本地通过 MobaXterm 运行操作一个远程 Linux 服务器上有图形界面的程序。
image.png
Linux 本身是没有图形化界面的,所谓的图形化界面系统只不过中 Linux 下的应用程序。这一点和 Windows 不一样。Windows 从 Windows 95 开始,图形界面就直接在系统内核中实现了,是操作系统不可或缺的一部分。Linux 的图形化界面,底层都是基于 X 协议。
禁止X11转发
X11Forwarding no
x11转发功能实际应用会非常罕见,作用是将远程的图形数据在本地的X server上展示,以实现本地操作远程图形程序的功能。首先是Linux服务器大多运行在无图形环境下,本身就没有图形化程序跑在上面,再加上客户机可能多数是windows,又没有X环境,更加限制了这个功能的使用。还有就是x11 forwarding性能不是很好,实际使用会发现非常卡,不适合使用那种对响应速度要求比较灵敏的应用程序,比如浏览器,在x11 forwarding下运行动图会非常卡。最后就是需要跑图形化程序的服务器多数都安装有桌面环境,配置有vnc,因此就更没有人愿意使用这个功能了。
参考链接:
https://www.jianshu.com/p/1a296191a122
https://segmentfault.com/a/1190000014822400
