前言:linux openssh漏洞,为修复此漏洞,一般是升级是将openssh升级版本,此步骤为将openssh5.3升级到6.7
(下载地址:http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-6.7p1.tar.gz)
安装升级前,请确保以下前置条件:
1.检查gcc和pam-devel是否安装,如没有安装,先进行安装
#rpm -qa | grep gcc
#yum install gcc(如果没有gcc,安装gcc,如果有,此步骤跳过)
#rpm -qa|grep pam
#yum install pam (如果没有pam,安装pam,如果有,此步骤跳过)
#rpm -qa|grep pam-devel
#yum install pam-devel (如果没有pam-devel,安装pam-devel,如果有,此步骤跳过)
2.pam-devel包必须与系统的pam包版本一致
3.相关包zlib-1.2.3.tar.bz2,openssh-6.7p1.tar.gz,openssl-1.0.1m.tar.gz
4.所有安装包都放在/tmp/目录下
一、安装 Zlib
1、编译安装 Zlib
首先把zlib包文件拷贝到/tmp目录下。
# tar jxvf zlib-1.2.3.tar.bz2
# cd zlib-1.2.3
# ./configure --prefix=/usr/local/zlib (系统是64位的,使用命令:# CFLAGS="-O3 -fPIC" ./configure --prefix=/usr/local/zlib)
出现“NOTE: If in doubt, on Unix-ish systems use './config'.”的话
#./config --prefix=/usr/local/zlib
# make
# make install
# rpm -qa|grep zlib (查看安装后的版本)
二、安装 OpenSSL
1、编译安装 OpenSSL
首先把OpenSSL包文件拷贝到/tmp目录下。
# cd /tmp
# tar xzvf openssl-1.0.1m.tar.gz
# cd openssl-1.0.1m
# ./config --prefix=/usr --shared
# make
# make test (是进行 SSL 加密协议的完整测试,如果出现错误就要一定先找出哪里的原因,否则一味继续可能导致最终 SSH 不能使用)
# make install
# rpm -qa|grep Openssl (查看安装后的版本)
三、安装 OpenSSH
2、编译安装 OpenSSH
首先把OpenSSH包文件拷贝到/tmp目录下。
# cd /tmp
# tar xzvf openssh-6.7p1.tar
# cd openssh-6.7p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
(如果出现zlib.h missing -please install first or check config,用#yum install zlib-devel 安装zlib-devel)
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --with-md5-passwords
# make
# make install
四、修改配置文件和更新脚本文件
1.修改OpenSSH 的配置文件
# vi /etc/ssh/sshd_config
找到:
CODE:
#Protocol 2,1修改为:
CODE:
Protocol 2这样就禁用了 ssh v1 协议,只使用更安全的 ssh v2 协议。
找到:
CODE:
cd
X11Forwarding yes修改为:
CODE:
X11Forwarding no禁用 X11 转发。
修改后保存退出。
2.生成ssh服务管理脚本
进入tmp/openssh-6.7p1.目录
#cd contrib/redhat
#cp sshd.init /etc/init.d/sshd
#chmod +x /etc/init.d/sshd
3.重启 SSH 服务使修改生效:
# /etc/init.d/sshd restart
4 重启后确认一下当前的 OpenSSH 和 OpenSSL 是否正确:
# ssh -V
# telnet 127.0.0.1 22
5.删除安装文件(此步骤可以省略)
#cd /tmp
#pwd 确认在tmp目录
#rm -rf /tmp/*
如果看到了新的版本号就没问题啦!