CentOS升级openssh到最新版
本篇主要针对漏洞扫描结果中,openssh旧版漏洞的修复。
1.查看本地centos版本和openssh版本
cat /etc/redhat-release
ssh –V
运行结果如图:(我这里是升级完后的版本,正常是旧版本)
2.下载最新openssh安装包并上传到服务器
链接地址
可以使用winSCP工具上传到服务或u盘拷贝(针对物理机直接操作,Linux系统建议使用fat32格式u盘)
3.服务器配置本地镜像源
下载iso镜像,做本地yum源
- 下载镜像地址:
https://mirrors.aliyun.com/centos-vault/6.5/isos/i386/
这里注意版本6.5改成你的系统对应版本,i386为系统对应架构平台,如果是64位,则改为x86_64
- 配置本地源yum
(1)备份本地源
cd /etc/yum.repo.d
mkdir bak
mv *.repo bak
(2)将iso镜像上传到服务器
(3)挂载镜像到/mnt/CentOS6目录
mkdir CentOS6
mount -t iso9660 -o loop /root/CentOS-6.5-i386-bin-DVD1.iso /mnt/CentOS6/
(4)创建自定义yum.repo
vim /etc/yum.repos.d/yum.repo
内容:
[mnt]
name=mnt
baseurl=file:///mnt/CentOS7
enabled=1
gpgcheck=0
如图:
(5)清除yum缓存,并更新yum源
yum clean all && yum makecache
配置本地源后,可以下载各种软件的依赖环境,比较方便。
4.安装telnet用于远程连接(因为ssh需要停止)
- 安装telentserver和xinetd(telnet依赖于xinetd)
yum install xinetd telnet-server -y
- 编辑追加pts/0 pts/1 pts/2 pts/3
echo -e "pts/0\npts/1\npts/2\npts/3" >> /etc/securetty
- telnet服务启动
1.修改配置文件
vi /etc/xinetd.d/telnet 修改 disable = yes 为 disable = no
2.启动xinetd服务
service xinetd start
(如果是CentOS7以上的系统,使用如下命令:
systemctl start xinetd
systemctl start telnet.socket
)
5.使用telnet连接Linux
telnet IP 后输入用户名密码
注意:这里有个报错:login incorrect,账号密码是对的但是报错
(1)进入/etc/pam.d/login,注释掉安全登录‘pam_securetty.so’这行
(2)查看/var/log/secure日志,将报错的pts终端添加到/etc/securetty文件里
echo “pts/4” >> /etc/securetty
问题解决。
6.telnet登入后检查依赖关系
安装依赖(如果缺少依赖会安装失败,一定要先解决依赖问题)
yum -y install gcc pam-devel zlib-devel openssl-devel
7.卸载旧版ssh,安装新版(确保telnet连接正常再操作)
- 停止服务
service sshd stop
- 备份ssh目录
cp –a /etc/ssh/* /etc/ssh_bak/
- 卸载旧版openssh
rpm -e rpm -qa | grep openssh --nodeps
(失败了还可以安装回来旧版yum install -y openssh-server openssh-clients)
- 移除旧的密钥文件等
rm -rf /etc/ssh/*
8.编译安装新版openssh
- 解压下载好的openssh压缩包
cd /opt/
tar -zxvf openssh-8.9p1.tar.gz
- 赋予权限
chown -R 777 openssh-8.9p1
- 编译
cd openssh-8.9p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords --with-pam
- 安装
make && make install
- 复制文件并更改权限
cp -a contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
- 修改ssh配置文件
vim /etc/ssh/sshd_config进入配置文件,按o换行编辑,添加以下配置
PermitRootLogin yes
Port 22(可自定义)
- 设置ssh开机启动并启动服务
chkconfig --add sshd
chkconfig sshd on
service sshd start
- 重新连接ssh查看版本
- 关闭telnet服务
service xinetd stop
(CentOS7可用以下命令
systemctl stop xinetd.service
systemctl stop telnet.socket
)
注意:如果不能远程,大概率是防火墙原因,需要关闭防火墙或开放端口。