升级生产环境CentOS7的SSH,解决一些安全性问题

最新推荐文章于 2022-05-20 21:04:54 发布
最新推荐文章于 2022-05-20 21:04:54 发布
阅读量367 收藏 1
点赞数 1
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WSZJFNSM/article/details/100074577
版权

升级生产环境SSH版本

升级资源准备

  • Telnet
  1. Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
  • SSL
  1. SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。
  2. 下载地址:https://www.openssl.org/source/
  3. 本次安装使用版本:openssl-1.0.2s.tar.gz,下载地址:openssl-1.0.2s.tar.gz
  • SSH
  1. OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件
  2. 下载地址:http://www.openssh.com/portable.html
  3. 本次安装使用版本:openssh-8.0p1.tar.gz,下载地址:openssh-8.0p1.tar.gz

安装Telnet

  • 安装Telnet目的
    防止在升级过程中SSH远程登录不可用导致连接不上服务器
  • 查看防火墙状态
    firewall-cmd --state
    如果没有开启就不需要管,开启了就需要关闭防火墙或者开放23端口,其中telnet的默认端口为23
  • 安装Telnet相关工具
  1. 安装telnet-server和xinetd
    sudo yum install -y xinetd telnet-server
  2. 配置telnet
    使用以下命令确认是否有telnet文件,没有调过以下操作,进入步骤3:
    ll /etc/xinetd.d/telnet
    修改telnet文件:
    sudo vim /etc/xinetd.d/telnet
    修改如下信息:
    disable = yes
  3. 配置telnet登录
    修改securetty文件
    sudo vim /etc/securetty
    在末尾加入:
    pts/0
    pts/1
    pts/2
    pts/3
  4. 启动telnet服务
    sudo systemctl enable xinetd
    sudo systemctl enable telnet.socket
    sudo systemctl start telnet.socket
    sudo systemctl start xinetd
    查看服务是否启动
    sudo netstat -lntp | grep 23
  5. 使用xshell连接测试,选择telnet协议连接,如下图所示:
    在这里插入图片描述
  6. 如果连接不上,尝试如下步骤:
    编辑remote文件:
    sudo vi /etc/pam.d/remote
    将如下信息注释:
    #auth required pam_securetty.so
    编辑login文件:
    将如下信息注释:
    #auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
    重新使用xshell连接测试
  7. 需要本机测试可以安装telnet客户端
    sudo yum install -y telnet
    测试命令:telnet 127.0.0.1 23

升级SSL

  • 安装需要的包
    sudo yum install -y pam* zlib* gcc
    可以使用gcc -v看一下有没有gcc相关编译包

  • 安装openssl

  1. 查找openssl相关文件
    find / -name openssl
  2. 备份旧的文件
    ll /usr/bin/openssl
    sudo mv /usr/bin/openssl /usr/bin/openssl_bak
    ll /usr/lib64/openssl
    sudo mv /usr/lib64/openssl /usr/lib64/openssl_bak
    其中ll命令可以先确认一下有没有对应的文件
  3. 进入解压的openssl目录,开始安装openssl:
sudo ./config shared && sudo make && sudo make install

  1. 查看安装过程中有没有出错
    sudo echo $?
    输出为0就没有出错

  2. 建立软链接
    sudo ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
    sudo ln -s /usr/local/ssl/include/openssl /usr/include/openssl

  3. 加载新配置
    echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
    这里如果不是使用root账号会提示没有权限,可以使用vim直接将/usr/local/ssl/lib维护到ld.so.conf文件中。

    继续执行命令: /sbin/ldconfig

  4. 查看版本
    openssl version

升级SSH

  • 安装openssh

  1. 删除原有或进行备份,以下进行备份
    sudo mkdir /etc/ssh.bak
    sudo cp -r /etc/ssh/. /etc/ssh.bak/
    sudo rm -rf /etc/ssh/*

  2. 进入openssh解压路径,编译安装

sudo ./configure --prefix=/usr/ --sysconfdir=/etc/ssh  --with-openssl-includes=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl   --with-zlib   --with-md5-passwords   --with-pam  && sudo make && sudo make install

  1. 查看编译安装有没有报错
    sudo echo $?
    输出为0就没有出错

  2. 修改配置文件如下:
    sudo vim /etc/ssh/sshd_config
    修改或添加内容如下:
    UsePAM yes
    PermitRootLogin yes
    UseDNS no

  3. 在解压目录openssh目录下复制文件,如下操作:
    sudo cp -a contrib/redhat/sshd.init /etc/init.d/sshd
    sudo cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
    sudo chmod +x /etc/init.d/sshd
    sudo chkconfig --add sshd
    sudo systemctl enable sshd

  4. 将原有的sshd文件删除或移动到其他目录,这里选择移动
    sudo mv /usr/lib/systemd/system/sshd.service /home/software/

  5. 设置开机自启动
    sudo chkconfig sshd on

  6. 启停操作
    sudo /etc/init.d/sshd restart
    sudo /etc/init.d/sshd start
    sudo /etc/init.d/sshd stop

  7. 查看端口
    netstat -lntp | grep 22

  8. 查看版本
    ssh -V

  9. 使用xshell连接测试,连接上之后进行步骤12.

  10. 禁用telnet
    sudo systemctl disable xinetd.service
    sudo systemctl stop xinetd.service
    sudo systemctl disable telnet.socket
    sudo systemctl stop telnet.socket

  11. 查看是否禁用成功
    netstat -lntp | grep 23

  12. 恢复安装telnet进行注释的部分

  13. 如果安装了telnet的客户端也将客户端卸载。
    使用如下命令查询是否有telnet安装包
    sudo rpm -qa | grep telnet
    卸载
    sudo rpm -e 上面查询到的名称

WSZJFNSM
关注
专栏目录
故障排查与优化深入:生产环境服务安全策略与系统性能优化评估
weixin_43304804的博客
01-23 3390
Linux运维经验分享与故障排查思路 线上服务器安装基本策略和经验 精简安装策略: 仅安装需要的,按需安装,不用不装 开发包,基本网络包,基本应用包 CentOS6.x CentOS7.x 系统盘按照默认分区方式 数据盘单独挂载 线上服务器网络设置经验和技巧 2.1 Centos7.x下最好关闭的服务服务专门用来管理网络,如果不关闭该服务,当我们修改IP地址后可能会出现IP地址为改变...
centos7生产环境下openssh升级
weixin_34004576的博客
07-05 114
由于生产环境ssh版本太低,导致使用安全软件扫描时提示系统处于异常不安全的状态,主要原因是ssh漏洞。推荐通过升级ssh版本修复漏洞 因为是生产环境,所以有很多问题需要注意。为了保险起见,在生产环境下做的任何升级之类的操作,最好先在测试环境先测试一下,如果测试没问题再在生产环境实施 系统环境:centos7.3 [root@localhost perl-5.28.0]# ssh -V ...
Centos7 升级 SSH步骤及注意事项
laogadai的博客
07-02 8154
因为服务器检查出ssh高位漏洞,在升级过程整理文档一份,供大家参考,同时也感谢参考的文章; 1、https://blog.csdn.net/qq_38000902/article/details/80969769 2、https://blog.csdn.net/jc_deng/article/details/80469439 汇总升级步骤如下: 1、确认是否安装gcc编译器 命令:gc...
CentOS7系统生成SSH公钥和私钥并为Gitee平台配置公钥
redrose2100的博客
11-03 2492
本文详细介绍centos7系统生成ssh公钥并在gitee平台配置的详细操作流程
centos7.6生成ssh keys
lzc2644481789的博客
05-20 2229
一、简介: 本文主要介绍如果生成ssh公钥和私钥。 二、操作: (1) 这里先弄清一个概念,假设我有两台机器A,B然后我想在A机器上远程登录到B机器上,那么我就应该在A机器通过ssh生成公钥和私钥,然后把公钥放到B机器,私钥自己留着。咱们先弄清楚了这个概念以后再来操作。 ssh-keygen #执行该命令,然后一路回车到底。 到 /root/.ssh (这是centos7.6环境下的)文件夹找到这两个文件: 当然了,如果是windows环境下,那么就要自己看一下私钥公钥保存的路径了。
centos7 ssh 升级至 9.6p1
04-26
升级SSH是提高系统安全性的关键步骤,因为每次OpenSSH发布新版本时,都会包含一些安全修复和功能改进。但请注意,直接升级可能会影响现有的连接和服务,因此建议在非生产环境测试升级流程,并在确认无误后再应用到...
centos7离线升级openssh9.4包含升级脚本
09-15
首先,我们要理解的是OpenSSH的版本升级对于系统的安全性至关重要。OpenSSH的每次更新都会修复已知的安全漏洞,提高加密算法的强度,以及改进性能和用户体验。因此,及时将CentOS7的OpenSSH从旧版本升级到9.4是...
CentOS7离线升级openssl1.1.1w,openssh9.6p1,所需资源包
04-08
离线升级CentOS7的openssl和openssh是一项复杂但必要的任务,它涉及到对系统安全性的增强和对最新漏洞的防护。通过手动下载和编译源代码,我们可以确保在没有网络连接的情况下也能完成关键的安全更新。同时,这个...
CentOS 7.5上升级OpenSSH到9.8版本
最新发布
08-23
在CentOS 7.5上升级OpenSSH到9.8版本是一个涉及多个步骤的过程,需要谨慎操作以确保系统的稳定性和安全性。以下是一个详细的升级步骤指南: 一、升级前准备 备份重要文件: 备份/etc/ssh目录,包含所有SSH配置文件...
不上网centos7系统升级到openssh9.3
03-23
随着时间的推移,为了保持系统的安全性升级OpenSSH至最新版本是必要的。本文将详细介绍如何在不联网的CentOS 7系统上,通过本地RPM包升级OpenSSH到9.3版本。 首先,我们理解为何需要升级OpenSSH。OpenSSH是开源...
CentOS6-7的安全配置
07-23
资源名称:CentOS 6-7 的安全配置资源截图: 资源太大,传百度网盘了,链接在附件,有需要的同学自取。
CentOS 7服务安全配置(未完待续)
zosoyi的博客
11-07 8674
1.问题背景本打算买一个Linux服务器玩玩,系统为CentOS 7,供学习Linux和线上部署网站学习用。没想到买了没几天,啥都没做呢,登录之后发现了近2万条登录失败记录(输入lastb命令即可查看登入系统失败的用户相关信息)。什么?有人想通过暴力破解密码来登录我的服务器?!并且大量的攻击来自同一个ip地址。作为一个Linux小白,差点被吓尿了,网络真危险啊。不过虽然是小白,也不甘示弱,有攻击就要
Centos7安装完之后一定要做的一些事情!
weixin_34234721的博客
01-08 781
1、更新系统和补丁我们的互联网是很不安全的,每天都有新的漏洞出现和修复,所以一定要更新、更新、更新,yum-yupdate上面的命令是检查更新并安装,包括内核和软件,建议刚安装完就更新一次,但是已经投入生产的系统,一定要慎重更新。2、修改ssh远程登陆的默认端口如果你开放一些常见的默认端口,会有人天天扫描和尝试登陆的,导致安全问题和消耗资源vi/etc/ssh/sshd...
隐藏openssh 的版本号 (验证发现sshd服务重启报错,本篇暂时用作参考)
Ray的博客
08-28 1万+
我们经常用telnet来验证服务器的端口是否有开,但是某些端口会透露程序的版本等相关信息, 像ssh就会列出版本号,这个问题在漏洞扫描里面还归到漏洞去了,编号:CVE-1999-0634 版本信息:openssh7.5p1 先查出sshd文件位置: whereis sshd 备份sshd文件: cd /usr/sbin cp sshd sshd.bak 修
CentOS7.X的系统管理、安全设置及系统优化思路
晨曦蜗牛
05-07 2100
一、系统的安装 1.系统的安装一般采用最小化安装,除非一些特殊需求需要安装图形界面。 2.系统安装之前首先要做好磁盘、分区的规划,需要根据实际需求制定相应的磁盘分区方案。例如:数据库及存储服务器可以单独使用一块磁盘分区之后挂载到指定挂载点。如果使用了LVM对磁盘进行管理,那么可以新建一个VG,这块磁盘的分区创建PV之后加入到该VG来分配使用。这样就与系统的分区独立开了,提高了数据的安全性。 ...
阿里云centos7,RHSA-2019:1884-危: libssh2 安全更新以及RHSA-2019:1880-低危: curl 安全和BUG修复更新
zalan01408980的博客
02-13 2383
RHSA-2019:1880-低危: curl 安全和BUG修复更新漏洞相关信息 漏洞描述 版本7.61.1之前的curl容易受到NTLM身份验证代码的缓冲区溢出的影响。内部函数Curl_ntlm_core_mk_nt_hash将密码的长度乘以2(SUM),以计算从堆分配的临时存储区域的大小。然后,长度值用于迭代密码并生成输出到分配的存储缓冲区。在具有32位size_t的系统上,当密码长度...
centos7 Apache和php的安全设置及优化
刀刀宅
10-12 597
https://www.idaobin.com/archives/623.html
使用 centOS 7 注意事项(踩过的坑)
Mrqiang9001
06-22 961
文章目录1 centOS 7 与 centOS 6 区别2 防火墙设置3 引入 SELinux4 Nginx 端口转发 5025 使用 systemctl 命令实现服务开机启动 ​ ​ 1 centOS 7 与 centOS 6 区别 后台开发常用到的区别: 1 加入了 systemctl 这一神器 2 防火墙设置不同 3 加入了更高级别的安全设置(SELinux) centOS 7 与 ce...
centos7.3升级openssh到7.7p1后root用户无法登陆的问题
热门推荐
kadwf123的专栏
05-19 2万+
主机系统centos7.3.1161升级openssh到当前最新版7.7p1以后使用root用户无法登陆,一直提示用户名密码错误(实际上用户名密码是对的)。下面对这个坑进行说明。step 1 、升级前提说明:1、升级OpenSSH后,原有公钥失效,信任关系需要重新配置;2、升级过程需要停止sshd服务,会导致ssh和sftp无法使用;3、升级OpenSSH影响的业务有:QDG同步、Mediatio...
一键升级加固CentOS 7 SSH与OpenSSL的脚本
资源摘要信息: "centos7.9-ssh9.8p1-ssl...通过以上知识点的介绍,可以看出该脚本的升级过程主要是针对CentOS 7.9版本的用户,特别是在对安全性和便捷性要求较高的企业环境,能够有效提高系统的安全性能和运维效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值