加固背景:
作为一家审计软件厂家技术支持,我们产品部署在客户环境内网服务器上,服务器系统为CentOS7.6在最近被客户安全扫描发现存在OpenSSH 安全漏洞CVE-2023-51385
1.当前系统和版本信息
OS:CentOS7.6;OpenSSL:1.0.2k;OpenSSH:7.4p1
[root@localhost ~]# openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
[root@localhost ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)
You have mail in /var/spool/mail/root
[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
2.升级前注意事项
openssh9.4以后的版本还需要同步先升级openssl版本到openssl 1.1.1以上,故先做openssl升级
3.升级OpenSSL
3.1离线安装包全部上传到/opt目录下
依次执行:
tar -xvf openssh.tar.gz
cd openssh
ls
3.2卸载原openssl包
rpm -qa | grep openssl
rpm -e openssl --nodeps
#执行后仅卸载删除带版本号的包,千万不能卸载删除opensll-libs.*包
3.3重新安装新版本openssl包
rpm -ivh openssl-1.1.1w-1.el7.x86_64.rpm openssl-devel-1.1.1w-1.el7.x86_64.rpm --nodeps
rpm -qa | grep openssl
3.4查看openssl版本信息
openssl version
#查看openssl版本号为1.1.1w
4.升级OpenSSH
4.1卸载原openssh相关包
rpm -qa | grep openssh
#查看所有openssh相关包
rpm -e openssh-clients --nodeps
rpm -e openssh-7.4p1 --nodeps
#确认版本号是否为7.4
rpm -e openssh-server --nodepsrpm -qa | grep openssh
4.2重新安装openssh相关组件包
rpm -ivh openssh-*.rpm
#重新安装openssh相关组件包
4.3查看openssh版本信息
ssh -V
5.检查ssh配置文件并重启ssh服务
5.1检查ssh配置文件语法
sshd -t
5.2对ssh文件重新赋权
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
5.3重启ssh服务
systemctl restart sshd
systemctl status sshd
#到此升级已完成,可以的话可对机器做重启,不然下次ssh连接会有提示密钥修改
6.离线rpm包下载地址:
链接:https://pan.baidu.com/s/1gvQxLCOEcciNrHdtOBaxfQ?pwd=cxa8