V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  FreeBSD

FreeBSD 怎么升级 OpenSSH 修复今天的漏洞?线上有台 FreeBSD 14.0 生产服务器,上面跑了实名认证之类非关键服务,负责的员工离职半年多,公司没人熟悉这个系统,我弄了一晚上还是没成功升级 OpenSSH

  •  
  •   drymonfidelia · 129 天前 · 1254 次点击
    这是一个创建于 129 天前的主题,其中的信息可能已经有所发展或是发生改变。

    虽然不是主要的服务器,但我不敢重启它,怕重启了我都不知道服务怎么开起来,systemctl 之类的命令全都没有,配置也都不在我认为该在的地方,最后只找到了 freebsd-update fetchfreebsd-update install 两条命令,执行完了 OpenSSH 还是去年的版本

    第 1 条附言  ·  129 天前
    公司功能简单的服务都是个人负责的,不限制技术栈,结果出现了各种各样奇怪的系统、编程语言,已经不知道第几次出问题了
    9 条回复    2024-07-04 12:40:12 +08:00
    Chad0000
        1
    Chad0000  
       129 天前 via iPhone
    找前同事,欠个人情/请吃顿饭/直接给钱
    majula
        2
    majula  
       129 天前   ❤️ 1
    14.0-RELEASE-p8 已经修复,但只是打了 patch ,并没有全量更新到 openssh 9.8p1: https://github.com/freebsd/freebsd-src/commit/70eb00f17b310f599b60939c1afa326c7b2c390c

    你看一下 /usr/src/crypto/openssh/version.h ,只要 SSH_VERSION_FREEBSD 的值为 "FreeBSD-20240701" 就没问题(保险起见,再看一下 /usr/sbin/sshd 的 mtime ),重启一下服务就好
    drymonfidelia
        3
    drymonfidelia  
    OP
       129 天前
    @majula /usr/src/ 目录是空的没有文件,但是 /usr/sbin/sshd 的 mtime 是今天,sshd -V 输出是 OpenSSH_9.5p1, OpenSSL 3.0.12 24 Oct 2023
    drymonfidelia
        4
    drymonfidelia  
    OP
       129 天前
    @majula 不知道这样算更新好了吗
    majula
        5
    majula  
       129 天前
    @drymonfidelia #4

    理论上是没问题的

    再看下 /etc/os-release 里的 VERSION 是不是 14.0-RELEASE-p8
    drymonfidelia
        6
    drymonfidelia  
    OP
       129 天前
    @majula /etc/os-release 的内容是
    NAME=FreeBSD
    VERSION="14.0-RELEASE"
    VERSION_ID="14.0"
    ID=freebsd
    ANSI_COLOR="0;31"
    PRETTY_NAME="FreeBSD 14.0-RELEASE"
    CPE_NAME="cpe:/o:freebsd:freebsd:14.0"
    HOME_URL="https://FreeBSD.org/"
    BUG_REPORT_URL="https://bugs.FreeBSD.org/"
    好像不是 -p8
    但是执行 freebsd-update fetch 会提示 No updates needed to update system to 14.0-RELEASE-p8.

    # freebsd-update fetch
    src component not installed, skipped
    Looking up update.FreeBSD.org mirrors... 3 mirrors found.
    Fetching metadata signature for 14.0-RELEASE from update1.freebsd.org... done.
    Fetching metadata index... done.
    Inspecting system... done.
    Preparing to download files... done.

    No updates needed to update system to 14.0-RELEASE-p8.
    majula
        7
    majula  
       129 天前   ❤️ 1
    @drymonfidelia #6

    啊,这个文件是每次启动时生成的,如果你跑完 freebsd-update install 后没有重启,这个文件并不会更新

    那你可以跑一下 freebsd-version -u 看下版本号(其实 /etc/os-release 中看到的 VERSION 就是用这个命令获取的,见 /etc/rc.d/os-release )
    kero991
        8
    kero991  
       127 天前
    你不考虑一劳永逸直接换掉 FreeBSD 吗
    还是你打算接班
    还是你打算再招一个 FreeBSD
    你不觉得这玩意半年多没人管的风险比 ssh 漏洞大多了?
    这个洞其实没那么严重,成功率很低不说,还很耗时
    drymonfidelia
        9
    drymonfidelia  
    OP
       127 天前 via iPhone
    @kero991 公司人不够这台服务器临时我在管,后面应该会有人接班,我就不折腾了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2698 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 14:16 · PVG 22:16 · LAX 06:16 · JFK 09:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.