Openssh升级脚本-解决扫描漏洞

已于 2023-04-04 14:31:48 修改
阅读量445 收藏 2
点赞数 2
文章标签: linux 服务器 运维 安全
于 2023-04-04 14:30:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JDWDXN/article/details/129951728
版权

Openssh升级脚本

前言

因Openssh经常遇到扫描漏洞,许多运维人员不知道该如何安全有效地升级Openssh,于是参考网上相关资料,整理了一份openssh的升级脚本,有需要的请自取。【建议大家遇到此类漏洞,都考虑升级,这样可以最快解决大批量openssh的相关漏洞】

升级的关键点

升级OpenSSH至最新版本【建议都采用此方式,可以同时修复多个openssh相关漏洞】,建议多几篇网上相关文章,做好相关备份,并开启telnet以防止ssh中断【下面的脚本同样有此功能】,按照网上相关库的安装顺序去做对应升级:
https://blog.csdn.net/Astralisxoxo/article/details/121166562

脚本

建议先在相同的测试环境测试脚本可行性,并根据自己系统情况自行做调整,此脚本仅供大家参考【一些字符的格式可能受到影响,请自行调整】

#!/bin/bash
#author: nyc

oldversion=`ssh -V 2>&1`
echo "开始执行 OpenSSH 版本升级脚本"
echo -e "现在的ssh版本是:\033[36m $oldversion \033[0m"

####### 备份旧ssh ######
echo "请自行按如下命令备份旧ssh相关配置"
echo "mv /usr/sbin/sshd /usr/sbin/sshd.bak"
echo "mv /usr/bin/ssh /usr/bin/ssh.bak"
echo "mv /usr/sbin/sshd /usr/sbin/sshd.bak"
read -p "备份完成后直接回车进入下一步:" next

####### 关闭防火墙及selinux ######
echo "开始关闭防火墙及selinux"
systemctl stop firewalld
systemctl disable firewalld
firewall_status=`systemctl status firewalld|grep dead|wc -l`

if [ $firewall_status == 1 ]
then
	echo -e "\033[36m防火墙已关闭!\033[0m"
fi

setenforce 0

sed -inr '7s/enforcing/disabled/g' /etc/sysconfig/selinux
sed -inr '7s/enforcing/disabled/g' /etc/selinux/config

if [ $(getenforce|grep -E "Permissive|Disabled"|wc -l) ]&&[ $(sed -nr 7p /etc/sysconfig/selinux|grep disabled|wc -l) ]
then
	echo -e '\033[36mselinux 已关闭!\033[0m'
fi

# 安装telnet-server和telnent
echo "检查是否已安装telnet 服务..."
if [ `rpm -qa|grep telnet|wc -l` == 2 ]
then
	echo -e "\033[36m已安装telnet-server和telnet服务!\033[0m"
else
    echo -e "\033[36m正在安装中,请耐心等待...\033[0m"
	yum install xinetd telnet-server telnet -y>>install_telnet.log
	if [ `echo $?` == 0 ]
	then
		echo -e "\033[36mtelnet-server和telnet安装成功!\033[0m"
	fi
fi

# 配置telnet-server
if [ `grep pts /etc/securetty|wc -l` -lt 4 ]
then
cat>>/etc/securetty<<EOF
pts/0
pts/1
pts/2
pts/3
EOF
else
	echo -e "/etc/securetty已存在\033[36mpts/0,pts/1,pts/2,pts/3\033[0m"
fi

echo "正在启动telnet服务..."
systemctl enable xinetd
systemctl enable telnet.socket
systemctl start telnet.socket
systemctl start xinetd
if [ `rpm -qa|grep net-tools|wc -l` == 1 ]
then
	if [ `netstat -tuanp|grep -E ":::23"|wc -l` == 1 ]
	then
		echo -e "\033[36mtelnet-server服务已开启!\033[0m"
	fi
else
	yum -y install net-tools>>install_net-tools.log
	if [ `netstat -anp|grep 23|wc -l` == 1 ]
    then
        echo -e "\033[36mtelnet-server服务已开启!\033[0m"
    fi
fi

read -p "请在确认telnet可以建立会话后,直接回车进入下一步:" next

if [ -f "/data/tools/install_lib.log" ]
then
    echo "依赖包已安装完成"
else
    echo "安装依赖包..."
    echo -e "\033[36mgcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel\033[0m"
    yum install  -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel>>install_lib.log

    echo -e "\033[36mpam* zlib*\033[0m"
    yum install  -y pam* zlib*>>install_lib.log
fi

echo "检查是否存在/data/tools目录,及软件安装包"
if [ -d "/data/tools/" ]
then
	echo "目录已存在,检查是否存在安装包"
	if [ -e "/data/tools/openssl-1.1.1m.tar.gz" -a -e "/data/tools/openssh-9.0p1.tar.gz" ]
	then
		echo "已存在安装包...开始安装..."
	else
		echo "请上传安装包到/data/tools/目录"
		exit
	fi
else
	mkdir -p /data/tools
	echo "已自动创建/data/tools目录,请自行上传安装包到/data/tools/目录"
	exit
fi

if [ `openssl version|grep "1.1.1m"|wc -l` -eq "1" ]
then
	echo -e "\033[36m已经安装所需版本的openssl\033[0m"
else
	echo -e "\033[36m开始安装openssl!\033[0m"
	cd /data/tools
	tar xfz openssl-1.1.1m.tar.gz
	if [ -e "/usr/bin/openssl" -a -d "/usr/include/openssl" ]
	then
		mv /usr/bin/openssl /usr/bin/openssl_bak
		mv /usr/include/openssl /usr/include/openssl_bak
		if [ -e "/usr/bin/openssl_bak" -a -d "/usr/include/openssl_bak" ]
		then
			echo "备份完成!"
		fi
	fi
	echo -e "\033[36m配置、编译、安装!\033[0m"
	cd /data/tools/openssl-1.1.1m/
	./config shared && make && make install>>install_openssl.log

	if [ `echo $?` == 0 ]
	then
		ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
        ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
		echo "/usr/local/lib64/libssl.so.1.1" >> /etc/ld.so.conf
		/sbin/ldconfig
		if [ -e "/usr/bin/openssl" -a -d "/usr/include/openssl" ]
		then
			version_ssl=`openssl version`
			echo -e "\033[36mopenssl安装成功!当前版本为:$version_ssl\033[0m"
		fi
	fi
fi

if [[ (`ssh -V 2>&1|grep 9.0p1|wc -l` == 1) && (`ssh -V 2>&1|grep 9.0p1|wc -l` == 1) ]]
then
    echo -e "\033[36mopenssh已是9.0p1版本\033[0m"
else
	echo -e "\033[36m开始安装openssh!\033[0m"
	cd /data/tools/
	tar xfz openssh-9.0p1.tar.gz
	cd /data/tools/openssh-9.0p1
	chown -R root:root /data/tools/openssh-9.0p1
	tar -zcf /data/tools/ssh-bak-2022 /etc/ssh/*
	rm -rf /etc/ssh/*
	cd /data/tools/openssh-9.0p1
	./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh  --with-openssl-includes=/usr/local/include --with-ssl-dir=/usr/local/lib64/ --with-zlib  --with-md5-passwords  --with-pam  && make && make install

	if [ `echo $?`==0 ]
	then
        echo "PermitRootLogin yes">> /etc/ssh/sshd_config
        echo "UseDNS no">> /etc/ssh/sshd_config
        echo "PubkeyAuthentication yes">> /etc/ssh/sshd_config
        echo "UseDNS no">> /etc/ssh/sshd_config
        ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
        ln -s /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
        ln -s /usr/local/openssh/sbin/sshd /usr/sbin/sshd
        if [[ (`ssh -V 2>&1|grep 9.0p1|wc -l` == 1) && (`ssh -V 2>&1|grep 9.0p1|wc -l` == 1) ]]
        then
            echo -e "\033[36mopenssh安装成功\033[0m"
            systemctl disable sshd --now
            cd /data/tools/openssh-9.0p1
            cp -a contrib/redhat/sshd.init /etc/init.d/sshd
            cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
            chkconfig --add sshd
            systemctl enable sshd --now
        else
            echo -e "\033[36mopenssh安装失败\033[0m"
        fi
	fi
fi

echo -e "\033[36m是否关闭或卸载telnet-server?【请务必保证ssh可以正常连接再卸载telnet!!!】\033[0m"""
echo "1. 关闭telnet-server"
echo "2. 卸载telnet-server"
echo "3. 跳过"
read -p "请输入选项:" choice
case $choice in
1)
command
systemctl disable xinetd.service
systemctl stop xinetd.service
systemctl disable telnet.socket
systemctl stop telnet.socket
echo -e "\033[36mtelnet-server已关闭\033[0m"""
;;
2)
if [`rpm -qa|grep telnet-server|wc -l` == 1]
then
    read -p "请自行执行命令【rpm -e telnet-server-xxxx】进行卸载,卸载后回车继续下一步" next
else
	echo -e "\033[36mtelnet-server已卸载\033[0m"""
fi
;;
*)
esac

while true
do
    echo -e "\033[36m是否开启防火墙和selinux?【请确保ssh可以正常连接后再开启,开启后,telnet可能无法连接!!!\033[0m"""
    echo "1. 开启防火墙"
    echo "2. 开启selinux"
    echo "3. 跳过并退出"
    read -p "请输入选项:" choice
    case $choice in
    1)
    command
    systemctl start firewalld
    systemctl enable firewalld
    firewall_status=`systemctl status firewalld|grep active|wc -l`

    if [ $firewall_status == 1 ]
    then
        echo -e "\033[36m防火墙已开启!\033[0m"
    fi
    ;;
    2)
    command
    sed -inr '7s/disabled/enforcing/g' /etc/sysconfig/selinux
    sed -inr '7s/disabled/enforcing/g' /etc/selinux/config
    setenforce 1
    
    if [ $(getenforce|grep -E "Permissive|enforcing"|wc -l) ]&&[ $(sed -nr 7p /etc/sysconfig/selinux|grep enforcing|wc -l) ]
    then
        echo -e "\033[36mselinux已开启!\033[0m"""
    fi
    ;;
    3)
    command
    exit
    ;;
    *)
    esac
done
JDWDXN
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssh一键升级脚本,全干货
04-08
详细的涵盖了openssh升级的全部代码,以及详细的文档介绍
openssh升级.rar
06-10
描述中提到了“OpenSSH漏洞扫描及修复操作文档”,这表明升级过程中不仅包括了升级OpenSSH,还涉及到了对现有系统中OpenSSH安全检查。漏洞扫描是识别潜在安全问题的重要步骤,它可以帮助管理员了解当前OpenSSH版本...
(有网)OpenSSH一键升级脚本
famaslly的博客
03-05 483
【代码】(有网)OpenSSH一键升级脚本
openssh-9.6p1升级最新无错版(附一键升级脚本)
最新发布
u011262310的博客
06-20 230
Centos7 升级openssh-9.6p1升级最新无错版(附一键升级脚本)
linuxopenssh升级脚本,自动升级OPENSSH shell脚本(更新版)
weixin_32972053的博客
05-02 382
OpenSSH源码版本升级亲测支持在RHEL4.x,RHEL5.x,RHEL6.x,RHEL7.x,Suse11.x,Suse12.x 可用,配合saltstack能够批量执行大批量设备openssh版本升级。node但愿能够对平常运维处理漏洞工做的童靴有些许帮助,提升工做效率,减小无效工做时间。linux#!/bin/bash###################################...
升级openssh的shell脚本
zhangt_CSDN的博客
04-09 341
脚本可能不是非常完善,还在修改中,要注意的是:在部署前,主机需要所需要的组件。脚本中对组件的检查不是很全面。 可执行以下命令安装: yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel yum install -y pam* zlib* #!/bin/bash ##########################################################
linuxopenssh升级脚本,linux升级openssh(示例代码)
weixin_28366053的博客
05-02 178
升级sshd到OpenSSH-6.7并删除老版本ssh1)升级前准备查看是否缺包# rpm -qa | egrep "gcc|make|perl|pam|pam-devel"如果有配置yum了的话可以直接yum安装这些包,这样既可以检验是否装了,没装的直接装上。yum -y install gcc* make perl pam pam-devel2)下载openssh-7.3p1.tar.gz备份...
openssh漏洞修复,openssh升级脚本一键升级8.9
06-23
本文将详细讲解如何使用提供的"openssh漏洞修复,openssh升级脚本一键升级8.9"方法来确保系统安全。首先,我们看到压缩包中包含以下文件: 1. `openssl-1.1.1g.tar.gz`:这是OpenSSL的源代码包,OpenSSL是一个开放...
修复漏洞(四)OpenSSH升级相关包
07-20
OpenSSH升级过程中,Perl可能被用来编写或执行配置和脚本。此版本的Perl提供了对OpenSSH升级过程的支持。 2. **openssl-1.1.1u.tar.gz**:OpenSSL是一个开源的库,提供了各种加密算法,包括SSL和TLS协议,用于...
openssh修改版本的脚本
01-15
安全扫描软件通过探测openssh的版本,最近安全团队扫描服务器报告openssh有高急漏洞,报告指出openssh8.4p1及以下版本存在scp登的注入。可openssh官网最新的版本是openssh8.4p1,而服务器升级到8.4。只能通过修改...
openssh漏洞升级操作手册
01-19
在Red Hat Linux主机上,通过绿盟的安全扫描发现了一个OpenSSH安全漏洞:**OpenSSH复制块远程拒绝服务漏洞**。此漏洞主要表现在OpenSSH处理特定格式的SSH报文时,若报文中包含多个完全相同的块,则可能导致远程...
centos升级openssh脚本,一键修复openssh漏洞(openssh8.6p1)
10-19
升级openssh8.6p1,openssl-1.1.1g,zlib-1.2.11 上传到centos目录,解压,进入openssh目录 直接bash update_openssh_8_6.sh 完成升级
openssh-7.9p1+openssl-1.1.0h一键升级
11-10
Linux漏洞实在太烦人,也从网上看了些升级文档,可是那些文档升级操作太过程化,太麻烦,就花点时间写了一个一键升级Openssh7.9P1和Openssl-1.1.0h的脚本,把下载包放入/home目录下,直接运行update就好,不用卸载前ssh和ssl ,直接升级ssh7.9 和ssl升级1。1.oh,目前最高版本,希望给你带来帮助,如果有疑问可以私聊
一个检测ssh安全性的工具
06-26
一个检测ssh安全性的工具,可检测ssh的版本,更新时间,是否有ssh的心血漏洞等各种检查工具,现开源出来
openssh7.9自动升级脚本
04-26
#topsec天融信王正振1357040889@qq.com 解压ssh.zip到linux的/home目录,chmod +x install添加执行权限,然后./install.sh运行,中途不要中断命令执行,否则会安装失败,该脚本执行前请确认服务器已安装GCC,可离线使用作为ssh升级
自动化运维-openssh7.9一键升级(redhat6.8平台)
02-26
上传源码包(不需要解压)及shell脚本至:/usr/local/src 依次运行 # bash 1.before_upgrade.sh --注意:此脚本运行前,验证是否有配置yum源,安装telnet服务 # bash 2.upgrade_openssh.sh --说明:升级openssh及安装组件 #bash 3.alter_upgrade.sh --说明:确认openssh升级成功后,关闭telnet服务
简单的openssh自动升级脚本
weixin_33842328的博客
05-02 418
在使用前需要注意:在/tmp/123下面有这三个文件:zlib-1.2.11 openssh-7.4p1 openssl-1.0.2k安装必要的工具 gcc以及其依赖包,建议直接用yum安装GCC安装好TELNET脚本执行完成后,先看SSH版本再重启服务。安装pam-devdel包以及其依赖包安装ncurses包及其依赖包#安装zlibcd /tmp/123tar...
openssh脚本
u010878082的博客
07-13 153
openssh脚本
openssh一键升级脚本(测试成功)
asdfrt8686的博客
09-08 2421
1 ssh版本检查 本文档针对于ssh版本低于7.0的系统,升级openssh7.5 p1。 ssh –V [root@kuajing-db3 ~]# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010    2 OPENssh7.5安装步骤 卸载原有openssh yum rem...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值