"La versione SSH non è aggiornata" non è necessariamente un problema di sicurezza. La loro raccomandazione è di installare la versione più recente, ma non vi è alcun vantaggio nell'esecuzione della versione più recente a meno che non si desideri disporre delle funzionalità più recenti. Per sicurezza, ciò che importa è che hai tutte le correzioni di sicurezza applicate . Molte distribuzioni applicano correzioni di sicurezza alla versione che spediscono. Ad esempio, CentOS 6 continua a essere OpenSSH 5.3p1 e riceverà aggiornamenti di sicurezza fino al 2020; CentOS 7, la versione corrente, spedisce OpenSSH 6.6.1p1. Debian jessie spedisce OpenSSH 6.7p1 e riceverà anche aggiornamenti di sicurezza fino al 2020, mentre l'ultima release include OpenSSH7.4p1.
In generale, non è necessario installare pacchetti al di fuori della propria distribuzione per componenti di infrastruttura critici come OpenSSH. In tal caso, assicurarsi di iscriversi ai bollettini sulla sicurezza e applicare gli aggiornamenti di sicurezza il prima possibile. Se installi OpenSSH 7.5 ora e te ne dimentichi più tardi, stai indebolendo notevolmente la tua sicurezza.
Se ricevi un rapporto che dice solo "la versione è obsoleta" e non tenta nemmeno di determinare se sono state applicate le patch di sicurezza appropriate, si tratta di una segnalazione errata.
Chiudere l'accesso SSH esterno ai server che non ne hanno bisogno è una buona idea a prescindere. Una macchina su cui gli aggiornamenti di sicurezza sono in ritardo o una macchina in cui la password o la chiave di un utente sono state compromesse potrebbe portare l'attaccante nella tua rete. Spesso è una buona idea limitare l'accesso esterno a una singola macchina gateway (o una piccola serie di macchine per ridondanza) in cui gli aggiornamenti e l'account vengono monitorati più da vicino. La chiusura della porta nel firewall attenuerà il problema dell'accesso diretto. L'accesso indiretto (in cui l'attaccante entra nella rete su una macchina che non sta facendo nulla di importante, e lo usa come relè per entrare in una macchina più importante) sarà comunque un problema.
Puoi controllare l'accesso SSH da solo eseguendo ssh -v MACHINENAME
dall'esterno. Se MACHINENAME sta eseguendo un server SSH e il firewall non ti blocca, vedrai una riga come
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.7p1 Debian-5+deb8u3
Questo, come scrivo, è la versione corrente su Debian jessie e va perfettamente bene.