低版本的OpenSSH存在漏洞,升级到 OpenSSH_8.0p1

最新推荐文章于 2024-08-15 08:06:33 发布
最新推荐文章于 2024-08-15 08:06:33 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: 个人经验 文章标签: centos linux ssh 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fareality/article/details/106029226
版权

甲方扔过来一份主机扫描安全评估报告,我看了下报告有几个中危漏洞什么“OpenSSH'sftp-server'安全绕过漏洞”,“OpenSSH 用户枚举漏洞-CVE-2018-15919” 等。这些漏洞的修复方法都是升级OpenSSH到高版本,以下我记录下升级的过程。

然后大概说一下升级的步骤,首先确认下服务器现在使用的OpenSSH版本,看是否需要升级,如果使用的版本不存在这些漏洞那就不必升级了。我原来的版本OpenSSH_7.4p1存在一些漏洞,目前最新的版本是OpenSSH_8.2p1,我看目前升级到最新版本的不是很多,大部分都升级到了OpenSSH_8.0p1,为了保险起见就升级到这个版本吧。如果你是用SSH方式连接的服务器,这样你升级OpenSSH 可能会存在问题,建议使用telnet方式连接服务器来升级。

 

下边是升级的具体步骤:

首先查看未升级前的版本,顺便看下我服务器目前的操作系统版本是CentOS7.4

# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core)

因为使用SSH方式连接服务器升级OpenSSH可能会有问题下边我们安装telnet

1.先检查CentOS7.4是否已经安装以下几包:telnet-server、telnet、xinetd。命令如下:

#rpm -qa |grep telnet-server
#rpm -qa |grep telnet
#rpm -qa |grep xinetd

若没有安装则 yum install 包名   安装上面的三个包
附一个离线安装telnet的博客https://www.hangge.com/blog/cache/detail_2935.html

2.将telnet服务设置为开机启动

#systemctl enable telnet.socket

3.因为telnet服务也是由xinetd守护的,所以启动telnet服务就必须重新启动xinetd 

#systemctl start telnet.socket
#systemctl start xinetd

4.查看目前telnet服务的默认23端口是否在监听状态,如下图可见23端口处在监听状态表明telnet服务正常

这里我遇到了一个奇怪的问题也没找到原因,我完成第三步启动telnet服务和xinetd后,立即查看23端口的监听状态。这个时候23端口并没有在监听,大概过了一两分钟之后查看23端口才处在了监听状态。这点我一直没搞懂

5.此时我们就可以尝试使用telnet协议登录服务器试试了,如下图:

然而登录不成功:如下图:

6.解决登录不了的问题
我在网上看到了这篇文章:
https://blog.csdn.net/s_o_l_o_r/article/details/81541190

按照这篇文章的指引键入命令 tail /var/log/secure 查看日志如下:

按照这篇文章的说法倒数第三行pam_securetty提示 access denied(拒绝访问):tty pts/3 is not secure(终端 pts/3 不安全)。

文章非常好,讲了很多原理的东西,看到最后解决方法是编辑 /etc/securetty 在里边加上pts/3。这里我要说一句,我试了多次不是每次登陆都是pts/3 ,也有可能是pts/0、pts/1、pts/2 所以我就在/etc/securetty 里边加了多个,如下图:

加上之后果然登陆成功了,要感谢写这篇文章的这为兄弟

 

接下来我们使用telnet协议连接服务器的来升级OpenSSH

1.安装OpenSSH前先安装必要组件(等编译OpenSSH时报错再安装也可以)

#yum install -y gcc openssl-devel pam-devel rpm-build

2.下载并解压OpenSSH(我这里新建一个目录将安装包下载到此目录)

#mkdir tools
#cd tools
#wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.0p1.tar.gz
#tar -zxvf openssh-8.0p1.tar.gz

3.进入解压后的目录执行./configure ,其作用是检测系统配置,生成makefile文件

#cd openssh-8.0p1/ 
#./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-tcp-wrappers

由于系统版本的差异和系统之前装过的依赖包的不同,这个过程可能会有报错。如果有报错先解决报错,不然无法进行下一步

4.编译安装

#make && make install

此过程中可能出现以下报错:

Permissions 0640 for '/etc/ssh/ssh_host_ecdsa_key' are too open

报错解决:
修改相关提示文件的权限为600(作用为其增加读写权限),如有其他文件同样报上面的错,就为其增加同样的权限 如下:

#chmod 600 /etc/ssh/ssh_host_ecdsa_key

不报任何错表明编译安装完成

5.确认版本,此时的版本已经是OpenSSH_8.0p1,证明安装成功

# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2k-fips  26 Jan 2017

6.修改ssh配置文件

#vim /etc/ssh/sshd_config

将以下两个配置改为yes,如果注释掉的解开注释 如下:

PasswordAuthentication yes
PermitRootLogin yes       允许root用户ssh登录需要配置

7.设置开机启动,执行以下命令

#cd openssh-8.0p1/
#cp -a contrib/redhat/sshd.init /etc/init.d/sshd
#cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
#chmod +x /etc/init.d/sshd
#chkconfig --add sshd
#systemctl enable sshd
#mv /usr/lib/systemd/system/sshd.service /tmp
#chkconfig sshd on

8.重启ssh服务,连接测试

#service sshd restart

此时可以在使用ssh命令连接以下其他机器看是否正常 如下:

#ssh root@目标机器IP 
/etc/ssh/ssh_config line 59: Unsupported option "gssapiauthentication"

我们发现报错了,我再网上找的解决办法是编辑/etc/ssh/ssh_config  
注释掉 “GSSAPIAuthentication yes”  这一行
然后发现可以使用ssh正常连接其他机器了并且Xshell使用SSH协议也可以连接到升级过OpenSSH版本的这台服务器
 

此时大功告成,在此写下一点排查问题的建议,如果ssh登录出现问题可以从以下两个方面查找原因:
1.netstat -nult命令查看22端口是否在监听,没有的话查找具体原因解决
2.用telnet方式登录用journalctl -xe 命令查看登录日志分析问题解决

 

favreality
关注
专栏目录
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 2929
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
openssh漏洞_OpenSSH 8.0 发布,修复 SCP 存在 35 年的漏洞
weixin_39808143的博客
12-06 733
OpenSSH 8.0 发布了,此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111;将文件从远程系统复制到本地目录时,SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,这使得攻击者可以使用恶意服务器控制的内容创建或破坏本地文件。OpenSSH 8.0 的缓解措施添加了客户端检查,查看从服务器发送的文件名与命令行请求是否匹配。SCP 协议已经过时,不...
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略
最新发布
超哥的博客
08-15 1288
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略1 漏洞简述1.1 漏洞成因1.2 漏洞影响1.3 处置优先级:高2 影响版本3 解决方案3.1 临时缓
OpenSSH漏洞CVE-2021-41617 & CVE-2020-15778,CentOs7.6升级openssh-8.8p1 & openssl-1.1.1m
热门推荐
一缕南风的博客
05-16 1万+
简介 OpenSSHSSH(Secure SHell)协议的免费开源实现。OpenSSH是个SSH的软件,linux/unix都用openssh软件提供SSH服务。scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。 漏洞概述 1. CVE-2021-41617 OpenSSH(OpenBSD Secure Shell)是Openbsd计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,
Centos6.7 Openssh漏洞升级 8.2
weixin_42279969的博客
05-20 442
说明:在执行脚本前需要将CentOS-6.7-x86_64-bin-DVD1.iso、openssh-8.2p1.tar.gz、openssl-1.1.1f.tar.gz、perl-5.30.1.tar.gz、zlib-1.2.11.tar.gz上传至/media目录 安装完成重新启动操作系统 提取码:链接:https://pan.baidu.com/s/1o-N7kFjQvVKzbK-s69H6cw 提取码:h4em #!/bin/bash Tar_dir1=/etc/yum.repos.d/...
OpenSSH升级8.6版本。OpenSSH 命令注入漏洞
看着博客敲代码
04-27 7169
OpenSSH升级8.6版本 2021年4月19日发布openssh8.6版本。此次更新OpenSSH是100%完整的SSH协议2.0实施。修改了8.5版本中的低特权过程中的漏洞。 下面两个链接可获取安装部署方式 如果之前升级采用源码方式安装的,可进入安装目录进行卸载 make uninstall make clean 然后在进行安装 下面两个链接是两种部署方式 rpm包管理安装部署方式 源码安装部署方式 .........
新版openssh-8.0p1 RPM升级安装包
05-30
新版openssh漏洞升级openssh8.0p1的rpm包(方便安装升级) #ssh -V //查询已安装的openssh版本 #rpm -qa | grep ssh //查询已安装的openssh软件包 #systemctl stop sshd(CentOS7.0版本一下的用service sshd stop...
centos7.6升级OpenSSH_8.0p1的rpm包
10-24
OpenSSH_8.0p1, OpenSSL 1.0.2k-fips 26 Jan 2017 mv /etc/pam.d/sshd /etc/pam.d/sshd.101024-2 chmod -R 0600 /etc/ssh echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config mv /etc/pam.d/sshd.101024-1 /etc/...
openssh_8.0p1.zip
11-20
openssh 8.0p1 rpm for centos 6-7. 安装后版本:OpenSSH_8.0p1, OpenSSL 1.0.2k-fips. 注意:如果是vmware NAT虚拟机环境,在sshd_config文件的最后加上“IPQoS 0x00”,否则可能会导致无法ssh.
openssh_8.0_el7.zip
06-04
你应该能看到输出的版本号8.0p1,表示升级成功。 此外,如果你还关心 CentOS 6 的升级方法,虽然这个压缩包不包含 CentOS 6 的版本,但基本步骤相似,只是需要找到对应版本的 RPM 包,并且可能需要处理更多的...
linux远程溢出,OpenSSH SFTP远程溢出漏洞
weixin_29669143的博客
05-06 435
安全社区爱好者Jann Horn公布了OpenSSH可以让用SFTP访问的用户在没有验证的情况下使用"ForceCommand internal-sftp"的漏洞(含POC),也就是说如果你的OpenSSH服务器中没有配置"ChrootDirectory"的话普通用户都可以访问所有文件系统的资源,包括/proc,在>=2.6.x的Linux内核上,/proc/self/maps会显示你的内存...
openSSH升级解决安全漏洞问题
破晓的专栏
03-04 1万+
重装openSSH更高级的版本解决安全漏洞问题,会导致我们常用的链接会断掉,有两种解决方案,一种是多开几个ssh的链接,因为openSSH断开后就不会新建链接[没测试过];另一个方案就是安装telnet替换,因为telnet的安全性问题,升级SSH成功后,最好将telnet服务关掉。...
OpenSSH命令注入漏洞复现(CVE-2020-15778)
weixin_44537595的博客
10-24 3056
OpenSSH命令注入漏洞复现 1、简介 OpenSSHSSH (Secure SHell) 协议的免费开源实现,ssh主要就是用来远程控制计算机,或传输文件,OpenSSH是使用SSH透过计算机网络加密通讯的实现。 2、漏洞概述 该漏洞存在于scp在拷贝文件时产生的一个代码注入漏洞,攻击者可以利用此漏洞执行任意命令,比如:反弹shell, 3、影响版本 openssh <= openssh-8.3p1 4、实验环境 首先下载openssh,版本要符合漏洞影响的版本 服务端:apt-get
2024年7月1日,公布的OpenSSH漏洞【CVE-2024-6387】
sun0322
07-09 2732
========
OpenSSH复制块远程拒绝服务漏洞--openssh-server漏洞安全加固
04-09 1384
openssh-server漏洞主要是因为openssh-server的版本比较低,解决办法是升级openssh-server的版本。我在升级了多次发现openssh-server不能够通过高版本覆盖低版本进行升级,只能先卸载低版本再安装高版本。 升级步骤如下:     卸载低版本: 1、查找已经安装的openssh-server  rpm -qa | grep openssh-serve
OpenSSH新曝出严重Bug,影响广泛
weixin_34112030的博客
07-04 264
据最新的Bug报告,OpenSSH的版本从5.4到7.1均有此一严重的漏洞,基于这些版本的OpenSSH用户需及时的给这些系统打补丁。注意,此bug会同时影响到OpenSSH的特定OpenBSD版本以及相关的移植版本。 这个新发现的漏洞是由一个功能叫做roaming所引起的,而这个功能主要是用于SSH连接的断开续连的,这当然会影响到用户的。但是SSH的服...
修复OpenSSH版本信息可被获取漏洞
平庸
01-29 5221
修复OpenSSH版本信息可被获取漏洞
【解决办法】ssh连接很久才能连上解决
克豪的博客
08-09 1826
今天遇到一个问题就是ssh很久才能连上 于是打开命令行输入ssh root@ip -v加上-v参数查看详细信息 发现在SSH2_MSG_SERVICE_ACCEPT received这一行卡了很久 经过百度是dns解析的问题 然后vim /etc/ssh/sshd 把这一行UseDNS yes的注释去掉,改成UseDNS no 然后保存就可以了 vim 搜索字符串的方法 输入:/要查询的字符串 如:/DNS 就是查找DNS GSSAPIAuthentication no这一行最好也改一下 这个也可能因为
CentOS7 升级OpenSSH8.0p1版本教程
文章可能适用于那些 SSH 版本较低,希望通过 YUM 更新到 7.4p1 版本,然后再进一步升级8.0p1 的用户。 在 CentOS 7.3 和 7.6 上,系统的默认 SSH 版本是 7.4p1,而 OpenSSL 版本是 1.0.2r。为了进行升级,首先应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值