经过安全扫描,系统被发现了openssh漏洞,于是升级乎!
本教程历经生产所有服务器(基于centos7.x)进行操作,并完美运行!
升级的小伙伴请按照命令依次执行!
- 下载最新ssh包 https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
- 下载依赖 pam 相关的 rpm ,此gcc包中基本涵盖了 https://share.ljserver.cn/file/soft/linux/gcc.zip
- 先不执行步骤2中下载的gcc,先解压openssh包
- 执行命令前,建议先开一个ssh窗口备用,或者是打开telnet连接(安装telnet),避免ssh升级失败导致无法连接ssh
- 执行命令
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --without-hardening
# 如果有报错,则安装gcc包中对应名称的rpm包,或者是执行 yum -y install xxxx 来安装
make && make install
---
ssh-keygen -t dsa -f /etc/ssh/ssh_host_ed25519_key
# 输入y 两次回车
chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key
---
vim /etc/ssh/sshd_config
#末尾加上如下,有就不加了
PermitRootLogin yes
X11Forwarding yes
PasswordAuthentication yes
# 这个一般没有,需要在文件末尾加上
KexAlgorithms diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
---
# 在解压的openssh目录执行
cp ./contrib/redhat/sshd.init /etc/init.d/sshd
---
vim /etc/init.d/sshd
# 在‘$SSHD $OPTIONS && success || failure’这一行上面加上
# 一般 48 49行
OPTIONS="-f /etc/ssh/sshd_config"
---
# 继续干 -- 这里的命令如果不执行,小心ssh无限重复启动
cd /usr/lib/systemd/system/
mkdir sh.bak
mv ssh* ./sh.bak
systemctl daemon-reload
---
systemctl restart sshd
service sshd status
# 新开窗口,如果ssh能连接,则成功,否则,重新来一遍
