Как правильно обновить OpenSSH server на ubuntu?

Question

[Фрол Шмелев]

Здравствуйте. для устранения уязвимости необходимо было обновить версию ssh
делали по этой инструкции

cd ~
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz
tar -xzf openssh-9.3p2.tar.gz
cd openssh-9.3p2
apt -y install build-essential
# Сборка и установка:
./configure --sysconfdir=/usr/local/etc/ssh
make
sudo make install
# Копируем старый конфиг:
sudo cp /etc/ssh/sshd_config /usr/local/etc/ssh/sshd_config
# Редактируем конфигурацию (например, меняем порт и отключаем PAM):
sudo nano /usr/local/etc/ssh/sshd_config
# Запуск нового демона:
sudo /usr/local/sbin/sshd -f /usr/local/etc/ssh/sshd_config

Но при повторном сканировании редчеком - он увидел что старые пакеты присутствуют в системе и не удалены
при удалении командой
apt purge openssh-server
затирается пользователь sshd
поэтому удалили командой
apt remove openssh-server
далее создали unit

nano /etc/systemd/system/sshd.service

[Unit]
Description=Openssh
Documentation=https://sss.com
Wants=network-online.target
After=network-online.target
 
[Service]
User=sshd
Type=notify
ExecStart=/usr/local/sbin/sshd -f  /usr/local/etc/ssh/sshd_config
Restart=always
RestartSec=5
LimitNOFILE=40000
 
[Install]
WantedBy=multi-user.target

Применяем

sudo systemctl daemon-reload
sudo systemctl start sshd

получили ошибку что необходимы hostkeys
Раскомментировали в конфиге строчки:

HostKey /usr/local/etc/ssh/ssh_host_rsa_key
HostKey /usr/local/etc/ssh/ssh_host_ecdsa_key
HostKey /usr/local/etc/ssh/ssh_host_ed25519_key

и дали права

-rw------- 1 sshd sshd    505 июн 20 12:10 ssh_host_ecdsa_key
-rw-r--r-- 1 sshd sshd    177 июн 20 12:10 ssh_host_ecdsa_key.pub
-rw------- 1 sshd sshd    411 июн 20 12:10 ssh_host_ed25519_key
-rw-r--r-- 1 sshd sshd     97 июн 20 12:10 ssh_host_ed25519_key.pub
-rw------- 1 sshd sshd   2602 июн 20 12:10 ssh_host_rsa_key
-rw-r--r-- 1 sshd sshd    569 июн 20 12:10 ssh_host_rsa_key.pub

потом в результате имеем ошибку при подключении по ssh
fatal: Failed to set uids to 1001

причем если просто запустить командой без systemctl

/usr/local/sbin/sshd -f  /usr/local/etc/ssh/sshd_config

то все норм
в чем разница между этими двумя методами запуска???
подскажите куда копать?

Comments

[pfg21]

как мне кажется в системе получились два юнита /etc/systemd/system/sshd.service и /lib/systemd/system/sshd.service и они меж собой не договорились.

"все норм" потому что ты его запускаешь под текущим юзером (предположу что еще и сидишь по root :) ), а не под sshd как прописано в юните.
проверь запуск sshd под пользователем sshd сиречъ
sudo -u sshd /usr/local/sbin/sshd -f /usr/local/etc/ssh/sshd_config

я б таки удалил пакет с sshd и полностью ручками настроил самокомпилированный sshd.
винегрет получается и возможны косяки при обновлении пакета sshd.

и уж если ты выходишь на самостоятельную компиляцию опенссш, то бери с оф.сайта
https://www.openssh.com/ ибо пакет исходников под openBSD может быть пропатчен по требования openBSD

[Alexey Dmitriev]

Это просто вопрос дня, даже вопрос недели вероятно.
Это надо постараться, чтобы пришло в голову ставить:
- собранную под другую ОС
- устаревшую и наверняка уязвимую (9.3p2 выпущена в 2023 году) версию
- из тарболла
вместо apt update && apt upgrade, или хотя бы пересборки свежего src.deb под себя, ну или в крайней случае - сборки из исходного кода последней версии.

Answer 1

[ky0]

Уверены, что в инструкции для Убунты сказано качать сорсы от OpenBSD?

Почему просто пакет из репозитория не скачать, зачем все эти пляски с самостоятельной сборкой (особенно если неуверенно себя в ней чувствуете)?

Answer 2

[CityCat4]

wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portab...

Ээээ...мммм... сразу вспоминается картинка на тему "Бесконечного лета" - "Семен, а ты точно фотограф?" :)

Зачем в бубунте - жестко пакетном дистрибе заниматься "бесконечным сексом" с ручной сборкой? Причем по непонятно откуда взятой инструкции, очень похожей на просто первую попавшуюся?

Почему не обновить просто стандартной процедурой обновления в бубунте?