IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Linux升级openSSH到8.4用以解决openSSH安全漏洞问题 -> 正文阅读

[系统运维]Linux升级openSSH到8.4用以解决openSSH安全漏洞问题

1 背景

升级openssh到8.8用以解决openSSH一下安全漏洞问题

OpenSSH 安全漏洞(CVE-2020-14145)
OpenSSH 安全漏洞(CVE-2018-15919)
OpenSSH 安全漏洞(CVE-2017-15906)
OpenSSH 安全漏洞(CVE-2018-15473)
?

目录

背景

准备工作

基础编译环境准备

更新包下载

安装telnet以防失败后不能连接

更新

停止并卸载ssh

?安装zlib

安装 openssl?

安装openssh

安装完成后的配置修改

重启并验证版本


2 准备工作

2.1 基础编译环境准备

配置本地yum源安装基础编译环境(如果不确认可以先跳过)

[root soft]# yum -y install gcc make perl zlib zlib-devel pam pam-devel

2.2 更新包下载

准备如下安装包并上传到服务器,当前以/opt/soft/为例

?打包下载地址:https://download.csdn.net/download/u010976445/86093456

zlib-1.2.11.tar.gz

openssl-1.1.1g.tar.gz

openssh-8.8p1.tar.gz

2.3 安装telnet以防失败后不能连接

安装telnet

[root soft]# yum -y install xinetd telnet-server

启用telnet? root登录

编辑/etc/pam.d/login,注释掉这一行这行

[root soft]# vi /etc/pam.d/login

#auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

添加超级用户登陆设备至/etc/securetty文件

[root soft]# cp /etc/securetty /etc/securetty.bak
[root soft]# echo "pts/0" >> /etc/securetty
[root soft]# echo "pts/1" >> /etc/securetty
[root soft]# echo "pts/2" >> /etc/securetty

开启root用户远程登陆。

编辑/etc/pam.d/remote,注释下列这行:

vi /etc/pam.d/remote
#auth required pam_securetty.so

重启telnet和xinetd服务【telnet服务依赖于xinetd服务】

[root soft]# systemctl restart telnet.socket
[root soft]# systemctl restart xinetd

3 更新

关闭会话,使用telnet方式登录服务器进行后续操作

关闭会话,使用telnet方式登录服务器进行后续操作

关闭会话,使用telnet方式登录服务器进行后续操作

3.1 停止并卸载ssh

停止ssh服务

[root soft]# systemctl stop sshd

?卸载现有openssh

[root soft]# rpm -qa|grep openssh|xargs rpm -e  --nodeps

备份ssh配置文件

[root soft]# mv /etc/ssh /etc/ssh.old

?3.2 安装zlib

解压zlib源码包、进入解压文件夹、编译安装并输出安装结果(输出0表示安装正常),如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)

[root soft]# tar -zxvf zlib-1.2.11.tar.gz 
[root soft]# cd zlib-1.2.11
[root zlib-1.2.11]# ./configure --prefix=/usr/local/zlib
[root zlib-1.2.11]# make && make install && echo $?

?加入并刷新库文件

[root zlib-1.2.11]#  echo '/usr/local/zlib/lib' >>/etc/ld.so.conf
ldconfig -v

3.3 安装 openssl?

解压openssl源码包、进入解压文件夹、编译安装并输出安装结果(输出0表示安装正常),如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)

[root soft]# tar -zxvf openssl-1.1.1g.tar.gz
[root soft]# cd openssl-1.1.1g
[root openssl-1.1.1g]# ./config --prefix=/usr/local/openssl -d shared
[root openssl-1.1.1g]# make && make install && echo $?

完成安装后创建软连接并打印当前版本

[root openssl-1.1.1g]# ln -sf /usr/local/openssl/bin/openssl ?/usr/bin/openssl
[root openssl-1.1.1g]# ln -sf /usr/local/openssl/include/openssl /usr/include/openssl
[root openssl-1.1.1g]# echo '/usr/local/openssl/lib' >> /etc/ld.so.conf

[root openssl-1.1.1g]# /sbin/ldconfig -v
[root openssl-1.1.1g]# openssl version
OpenSSL 1.1.1g 21 Apr 2020

3.4 安装openssh

解压openssh源码包、进入解压文件夹、编译安装并输出安装结果(输出0表示安装正常),如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)

[root soft]# tar -xvf openssh-8.8p1.tar.gz
[root soft]# cd openssh-8.8p1
[root openssh-8.8p1]# ./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib
[root openssh-8.8p1]# make && make install && echo $?

3.5 安装完成后的配置修改

修改 /usr/local/openssh/etc/sshd_config 文件

添加22222 ssh端口:找到#Port 22 在下一行添加 Port? 22222?

启用允许root 远程登录:找到 #PermitRootLogin prohibit-password 在下一行添加 PermitRootLogin yes,

启用公钥身份验证:将 #PubkeyAuthentication yes 注释去除,

启用隧道明文密码:将PasswordAuthentication yes注释去除

[root openssh-8.8p1]# sed -i "/^Port 22222/d"  /usr/local/openssh/etc/sshd_config 
[root openssh-8.8p1]# sed -i "/^PermitRootLogin yes/d"  /usr/local/openssh/etc/sshd_config 
[root openssh-8.8p1]# sed -i "/^#Port 22/a\Port 22222"  /usr/local/openssh/etc/sshd_config
[root openssh-8.8p1]# sed -i "/^#PermitRootLogin prohibit-password/a\PermitRootLogin yes"  /usr/local/openssh/etc/sshd_config
[root openssh-8.8p1]# sed -i "/^#PubkeyAuthentication yes/cPubkeyAuthentication yes"  /usr/local/openssh/etc/sshd_config
[root openssh-8.8p1]# sed -i "/^#PasswordAuthentication yes/cPasswordAuthentication yes"  /usr/local/openssh/etc/sshd_config

添加22222 ssh端口:找到#Port 22 在下一行添加 Port? 22222?

启用允许root 远程登录:找到 #PermitRootLogin prohibit-password 在下一行添加 PermitRootLogin yes,

启用公钥身份验证:将 #PubkeyAuthentication yes 注释去除,

启用隧道明文密码:将PasswordAuthentication yes注释去除

覆盖配置文件

回到openssht8.4的解压的包中拷贝一些文件到目标位置并注册服务(如果目标目录存在就覆盖)

[root openssh-8.8p1]# cp -f /usr/local/openssh/bin/ssh /usr/bin/ssh 
[root openssh-8.8p1]# cp -f /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
[root openssh-8.8p1]# cp -f /usr/local/openssh/sbin/sshd /usr/sbin/sshd

[root openssh-8.8p1]# ln -s /usr/local/openssh/etc /etc/ssh

[root openssh-8.8p1]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd
[root openssh-8.8p1]# cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam

[root openssh-8.8p1]# chmod +x /etc/init.d/sshd
[root openssh-8.8p1]# chkconfig --add sshd
[root openssh-8.8p1]# systemctl enable sshd

移走原来的systemd管理的sshd文件 否则影响sshd重启

[root openssh-8.8p1]# mv  /usr/lib/systemd/system/sshd.service  /tmp/

设置开机启动

[root openssh-8.8p1]# chkconfig sshd on

4 重启并验证版本

重启服务并打印sshd版本

[root@test-file openssh-8.8p1]# /etc/init.d/sshd restart
[root@test-file openssh-8.8p1]# ssh -V
OpenSSH_8.8p1,OpenSSL 1.1.1g 21 Apr 2020

使用ssh登录验证是否可以登录页
?

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-07-17 17:01:55  更:2022-07-17 17:03:33 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 8:52:01-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计