19,615
社区成员
发帖
与我相关
我的任务
分享openssh如何禁用scp?
服务器扫出scp命令注入漏洞复现(CVE-2020-15778),目前官方好像没有补丁,想直接禁用scp,但是不是yum安装的不能直接卸载openssh-client,试过直接删除/usr/bin 下的scp文件,scp命令确实不能用了但是漏洞还是能扫出来。
...全文
请发表友善的回复…
发表回复
CLPlayOn 2021-05-15
- 打赏
- 举报
这个漏洞当时openssh官方回复的是不修复,如果杜绝反引号使用命令会 缩小scp可拷贝的文件类型的范围,没的破,关键是保护好用户名、密码,不泄露就不会触发这个漏洞。
换句话说回来,如果用户名、密码都泄露了,那可以干的事情就多了,触发这个漏洞都算是小事儿了。
aimigo 2021-06-24
- 举报
请问这个官方回复从哪里能看到?
桃橙柳 2021-04-28
- 打赏
- 举报
8.5也有这漏洞
All_i_need_is_u 2021-04-19
- 打赏
- 举报
更到最新都不行啊。
AnChen3 2021-03-31
- 打赏
- 举报
8.5支持1.1.1k的openssl么
baidu_39256759 2021-03-30
- 打赏
- 举报
- 1.0.x >= 1.0.1 or 1.1.0 >= 1.1.0g or any 1.1.1
十岁 2021-03-23
- 打赏
- 举报
8.4也出这漏洞了,在考虑升8.5,但是想咨询一下8.5版本所支持的ssl版本范围是哪些
Dawnice Tam 2021-02-02
- 打赏
- 举报
抱歉,关于hosts.allow的使用,如果openssh是官方的,且大于7版本的话,估计会不起作用,按官方的说法是,在7以上的版本中移除了Tcp Wrappers,刚才仔细查询了15778这个所谓的漏洞,说openssh8.3p1以下的版本都会受影响,不过很意外,我的服务器并没有被扫描出这个漏洞,也许大家用的漏扫系统不一样
然后我尝试复现这个漏洞,但也无果,不过,在复现过程中,需要账号密码来连接。。。话说,都有账号和密码了。。。。
然后我尝试复现这个漏洞,但也无果,不过,在复现过程中,需要账号密码来连接。。。话说,都有账号和密码了。。。。
Arkstorm 2021-01-27
- 打赏
- 举报
和楼主遇到了同样的问题。。没法解决 有没有大兄弟搞定这个漏洞了?
jingkunliu 2021-01-05
- 打赏
- 举报
我这边倒是可以卸载openssh-client,但是这个包里面除了ssh和scp命令是否还有其他命令,卸载client是否可解决该问题
奉天安康鱼 2021-09-22
- 举报
卸载了openssh,rsync也不能用了
jingkunliu 2021-01-05
- 打赏
- 举报
请问一下楼主解决了吗?遇到类似的问题,请问如何解决的
Dawnice Tam 2020-12-31
- 打赏
- 举报
scp是基于ssh的,由sshd守护,从限制使用ssh入手就行了,配置/etc/hosts.allow和/etc/hosts.deny就可以了。
wisewoman 2020-12-31
- 打赏
- 举报
你得禁用户的SCP,意义不大,你sshD不加密码吗?
咻咻人 2020-12-31
- 打赏
- 举报
好的,我试下
