linux centos7.9升级openssh9.8过程

已于 2024-08-06 15:54:41 修改
阅读量1k 收藏 25
点赞数 11
文章标签: linux 安全 运维
于 2024-08-04 16:26:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly4983/article/details/140901361
版权

一、前言

1.升级背景

因漏洞扫描扫描出openssh相关的高危漏洞,处理新发布的CVE-2024-6387关于openssh的漏洞,需要升级openssh到9.8版本。

2.确认系统

本文记录的过程是基于centos7.9(2009)系统,对于其他linux系统不一定适用,请确认自己的系统对号入座。
 

查看系统版本命令
cat /etc/centos-release

查看ssh版本
ssh -V

[root@xntz1 ly]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

3.升级前准备

由于openssh升级可能出现问题,导致ssh连接不上,因此为防止升级过程中出现异常,导致后续无法使用ssh,我们需要先打卡telnet窗口备用。

telnet安装

准备tools工具

centos7.9 安装光盘下找到

xinetd-2.3.15-14.el7.x86_64.rpm

telnet-server-0.17-65.el7_8.x86_64.rpm 

进行安装

[root@xntz1 ly]# rpm -ivh xinetd-2.3.15-14.el7.x86_64.rpm telnet-server-0.17-65.el7_8.x86_64.rpm 
Preparing...                          ################################# [100%]
Updating / installing...
   1:telnet-server-1:0.17-65.el7_8    ################################# [ 50%]
   2:xinetd-2:2.3.15-14.el7           ################################# [100%]

启用telnet服务

编辑/etc/xinetd.d/telnet文件,将其中的disable = yes改为disable = no

允许root用户通过telnet登陆:

编辑/etc/pam.d/login,注释掉下面这行

#auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

开启root用户远程登陆

编辑/etc/pam.d/remote,注释下列这行:

#auth required pam_securetty.so

备份配置文件/etc/securetty

cp /etc/securetty /etc/securetty.bak
添加超级用户登陆设备至/etc/securetty文件:

echo "pts/1" >> /etc/securetty

echo "pts/2" >> /etc/securetty

echo "pts/3" >> /etc/securetty

echo "pts/4" >> /etc/securetty

echo "pts/5" >> /etc/securetty

echo "pts/6" >> /etc/securetty

echo "pts/7" >> /etc/securetty

echo "pts/8" >> /etc/securetty

echo "pts/9" >> /etc/securetty

echo "pts/10" >> /etc/securetty

启动xinetd服务并设置开机自启

sudo systemctl start xinetd
sudo systemctl enable xinetd

配置防火墙允许telnet连接(如果已启用)

sudo firewall-cmd --permanent --add-service=telnet
sudo firewall-cmd --reload

确认telnet服务状态

sudo systemctl status xinetd

重启telnet服务,添加到启动项

systemctl restart telnet.socket

systemctl enable telnet.socket

注意 允许root用户远程telnet方法:

1、开启 telnet

  修改/etc/xinetd.d/telnet 将里面的 disable=yes 行前面加上#注释掉

  重新启动xinetd 服务 /etc/rc.d/init.d/xinetd restart
注:由于安全考虑,telnet 不允许 root 用户直接登录,需要您先建立一个普通用户,使用这个用户登录,再切换到 root 用户。
2、配置允许 root 用户登录
  法一、允许 root 用户登录是很不安全的,但是有时候为了测试的方便,也可以允许 root 用户登录,但是这个方法最好不要对公网开放使用。

将/etc/pam.d/login文件中的 auth       required     pam_securetty.so 加上“#”注释掉,就可以实现在登录的时候允许 root 用户了。注:有些时候使用该方法后依然无法让root用户telnet到linux系统,此时可以参考方法二

  法二、 修改/etc/securetty文件,增加root用户可以登录系统的虚拟终端

     echo "pts/0" >>/etc/securetty
     echo "pts/1" >>/etc/securetty

注:
  ttyn,是文本模式下的控制台,n代表第几个控制台,可以用CTRL+ALT+F1...F6或者用chvt n来切换.
  pts/n是在图形模式下的模拟控制台(模拟终端),n代表的是第几个模拟终端.

二、升级过程

1.升级zlib

#执行以下命令
cd /usr/local/src
wget https://www.zlib.net/zlib-1.3.1.tar.gz
#解压zlib
tar -xzvf zlib-1.3.1.tar.gz
 
#进入zlib解压目录
cd zlib-1.3.1
 
ls /usr/local/
 
./configure --prefix=/usr/local/zlib
make -j 2
make test
make install
 
ls /usr/local/zlib/
echo '/usr/local/zlib/lib' >> /etc/ld.so.conf.d/zlib.conf

加载配置
ldconfig -v
ldconfig

查zlib版本

cat /usr/local/zlib/lib/pkgconfig/zlib.pc

创建新的链接
cp /usr/local/zlib/lib/libz.so.1.3.1 /usr/lib64/
cd /usr/lib64/
mv libz.so libz.so.bak
mv libz.so.1 libz.so.1.bak
ln -s  libz.so.1.3.1 libz.so.1

确认新版本是否存在
strings /lib64/libz.so.1 |grep "ZLIB*"
操作了一通发现没有1.3.1 也不知道安装成功没有

测试

备份、卸载原有OpenSSL
 

[root@xntz1 /]# whereis openssl
openssl: /usr/bin/openssl     /usr/lib64/openssl   /usr/share/man/man1/openssl.1ssl.gz

备份

mv /usr/bin/openssl /usr/bin/openssl.old

mv /usr/lib64/openssl  /usr/lib64/openssl .old

卸载 openssl (这一步看个人需要,我有洁癖所以我卸载了)

yum remove openssl

安装openssl
 

wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz --no-check-certificate

tar -xzvf openssl-1.1.1w.tar.gz

cd openssl-1.1.1w/

./config --prefix=/usr

make && make install

这里我的目录选择了/usr 是因为系统最初始的openssl的目录就是/usr 这样可以省去的软连接、更新链接库的问题

验证

whereis openssl

openssl: /usr/bin/openssl /usr/lib64/openssl /usr/include/openssl /usr/share/man/man1/openssl.1ssl.gz /usr/share/man/man1/openssl.1

[root@vm206 openssl-1.1.1w]# openssl  version

OpenSSL 1.1.1w  11 Sep 2023

可以看到我这边的目录和老版本的openssl的目录保持了一致,唯一不同的是多了一个/usr/include/openssl 库目录
如果不加--prefix=/usr ,openssl的默认路径如下

Bin: /usr/local/bin/openssl

include库 :/usr/local/include/openssl

lib库:/usr/local/lib64/

engine库:/usr/lib64/openssl/engines

查看openssh位置,备份

whereis ssh sshd

ssh: /usr/bin/ssh /etc/ssh /usr/share/man/man1/ssh.1.gz
sshd: /usr/sbin/sshd /usr/share/man/man8/sshd.8.gz

mv /etc/ssh /etc/ssh.bak
mv /usr/bin/ssh /usr/bin/ssh.bak
mv /usr/sbin/sshd /usr/sbin/sshd.bak
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

以上执行后又还原回来了

cp -rf /etc/ssh /etc/ssh.bak
cp -rf /usr/bin/openssl /usr/bin/openssl.bak
cp -rf /etc/pam.d /etc/pam.d.bak
cp -rf /usr/lib/systemd/system /usr/lib/systemd/system.bak

卸载原来的版本

查看

[root@xntz1 ~]# rpm -qa | grep ssh
openssh-7.4p1-21.el7.x86_64
openssh-clients-7.4p1-21.el7.x86_64
libssh2-1.8.0-4.el7.x86_64
openssh-server-7.4p1-21.el7.x86_64

安装方式1

cd /home/ly/

wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

systemctl stop sshd

tar -zxvf openssh-9.8p1.tar.gz

cd  openssh-9.8p1

./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl --without-zlib-version-check

###--with-zlib=/usr/local/zlib:指定 zlib 库的路径为 /usr/local/zlib。这是为了告诉 OpenSSH 在编译过程中使用指定路径下的 zlib 库。
###--with-ssl-dir=/usr/local/ssl:指定 OpenSSL 库的路径为 /usr/local/ssl。这是为了告诉 OpenSSH 在编译过程中使用指定路径下的 OpenSSL 库。
####--without-zlib-version-check:禁用对 zlib 版本的检查。这个选项可以用于跳过对 zlib 版本的检查,即使 zlib 版本不符合 OpenSSH 的要求,也会继续编译。

openssl升级

openssl1.1下载

OpenSSL 3.3.1 Free Download, Linux | IceWalkers

https://www.icewalkers.com/linux/software/518010/openssl.html

wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz --no-check-certificate

tar -xzvf openssl-1.1.1h.tar.gz

cd openssl-1.1.1h/

./config --prefix=/usr

make && make install

这里我的目录选择了/usr 是因为系统最初始的openssl的目录就是/usr 这样可以省去的软连接、更新链接库的问题

验证

whereis openssl

openssl  version
OpenSSL 1.1.1h  22 Sep 2020

可以看到我这边的目录和老版本的openssl的目录保持了一致,唯一不同的是多了一个/usr/include/openssl 库目录
如果不加prefix ,openssl的默认路径如下

安装openssl3.1.2  ./config 时有报错,所以选在1.1.

升级openssh

systemctl stop sshd

# whereis ssh sshd
ssh: /usr/bin/ssh /etc/ssh /etc/ssh.bak /usr/share/man/man1/ssh.1.gz
sshd: /usr/sbin/sshd /usr/share/man/man8/sshd.8.gz

备份文件目录

mv /etc/ssh /etc/ssh.bak

mv /usr/bin/ssh /usr/bin/ssh.bak

mv /usr/sbin/sshd /usr/sbin/sshd.bak

mv /etc/pam.d/sshd  /etc/pam.d/sshd.bak

卸载旧版OpenSSH

yum remove openssh

安装方式2:ssh能连上 但是不知道稳定不?

yum update -y
yum install epel-release -y
yum install openssh-clients openssh-server openssh-devel -y
以上内容没有操作ssh也能正常连接

tar -zxvf centos7_openssh-9.8.tar
cd centos7_openssh-9.8
rpm -Uvh --force --nodeps *.rpm
ssh-keygen -A
sudo chmod 600 /etc/ssh/ssh_host_*
sudo chmod 644 /etc/ssh/ssh_host_*.pub

vi /etc/ssh/sshd_config

注释掉PermitRootLogin yes

service sshd restart

ssh -V


rpm -qa | grep telnet

rpm -ivh xinetd-2.3.15-14.el7.x86_64.rpm telnet-server-0.17-65.el7_8.x86_64.rpm 

vi  /etc/pam.d/login,注释掉下面这行,这个不用注释掉一样好使。
#auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

vi /etc/pam.d/remote,注释下列这行:
#auth required pam_securetty.so


systemctl start xinetd
systemctl enable xinetd
systemctl status xinetd

systemctl restart telnet.socket
systemctl enable telnet.socket



sudo firewall-cmd --permanent --add-service=telnet
sudo firewall-cmd --reload

service sshd stop
tar -zxvf centos7_openssh-9.8.tar
cd centos7_openssh-9.8
rpm -Uvh *.rpm
rpm -Uvh --force --nodeps *.rpm
ssh-keygen -A
sudo chmod 600 /etc/ssh/ssh_host_*
sudo chmod 644 /etc/ssh/ssh_host_*.pub

service sshd restart
ssh -V


vi /etc/ssh/sshd_config

注释掉PermitRootLogin yes

service sshd restart

ssh -V

systemctl stop xinetd
systemctl disable xinetd
systemctl stop telnet.socket
systemctl disable telnet.socket

ly4983
关注
Centos升级openSSH
liyanggyang的博客
12-26 1183
centos update openssh
Centos系统OpenSsh升级完整版】
aa1206232939的博客
09-02 891
问世近 20 年首个远程执行漏洞,OpenSSH 遭遇新威胁:无需用户交互,可提权至 root等CVE-2024-6387漏洞本篇文章我们重点介绍OpenSSH是如何升级openssh-9.8版本,操作系统为Centos7.1为了能清晰的表达升级操作的全过程,大体会分如下几步骤:OpenSSH的下载与编译、OpenSSH升级OpenSSH升级后遇到的问题与解决通过以上操作即可完成OpenSsh的更新,希望对大家有所帮助。
centos7.9升级openssh9.8
07-23
centos7.9升级openssh9.8,处理新发布的CVE-2024-6387关于openssh的漏洞,升级openssh9.8版本。
centos7升级openssh9.8
suiyupiaomiao的博客
07-02 5611
centos7升级openssh9.8p1
Centos7升级OpenSSH(亲测有效适用于小白)
weixin_61753702的博客
08-01 3448
该漏洞影响 Linux、macOS、BSD 以及其他操作系统上 OpenSSH 客户端和服务器实现的所有用户。由于 OpenSSH 是使用最广泛的 SSH 实现之一,因此影响相当广泛。如果成功利用,该缺陷可能会被用来绕过身份验证并获得对运行易受攻击的 OpenSSH 版本的系统的未经授权的远程访问。如是个人学习升级openssh,建议升级前拍摄快照。安装所需软件包,以及用于编译和安装从源代码构建的软件。如出现一下内容为以及将所需软件包安装完成,无需再安装。服务器,确保在SSH服务器升级异常时,可以通过。
centos7|操作系统|低版本的OpenSSH升级到最新版本OpenSSH-9.8.p1
zsk_john的技术分享专用博客
07-07 2861
OpenSSH是什么 OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。
CentOS7系列升级openssh9.8p1
08-27
漏洞修复CVE-2023-51385、CVE-2024-6387,亲...(openssh-9.8p1-3.el7.x86_64.rpm、 openssh-clients-9.8p1-3.el7.x86_64.rpm、 openssh-debuginfo-9.8p1-3.el7.x86_64.rpm、 openssh-server-9.8p1-3.el7.x86_64.rpm)
适用于redhat6/7centos7openssh9.8p1升级rpm包
最新发布
09-11
本包有ssl要求,适用于已经安装了openssl-1.1.1w版本的系统,安装方法: yum localinstall openssh-9*.rpm,openssh-server*.rpm,openssh-client*.rpm 只安装三个包就行了。 没有openssl-1.1.1w的可下载我上传的...
centos7.9的openssh和openssl升级包(openssh-9.4p1和openssl-1.1.1w)
03-02
首先备份原有库文件在进行卸载升级 cp /usr/bin/openssl /usr/bin/openssl-1.0.2k cp /usr/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1-1.0.2k cp /usr/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1-...
centos7系列 openssh9.8p1 rpm安装包
07-02
openssh-9.8p1-3.el7.x86_64.rpm openssh-clients-9.8p1-3.el7.x86_64.rpm openssh-server-9.8p1-3.el7.x86_64.rpm openssh-debuginfo-9.8p1-3.el7.x86_64.rpm 更新使用脚本: #卸载当前系统openssh相关内容 rpm -e ...
CentOS 6.5 升级OpenSSH
02-11
在有的企业中每年都会安全扫描,因为实现远程连接比较重要,如果openssh版本过低,就要对其升级,本文主要讲述openssh升级的步骤(经在线业务系统测试成功案例)
CentOS7升级OpenSSHopenssh-7.4p1
02-08
将centsos7.1自带的OpenSSH6.6升级到最新的openssh7.4p1。文档内有详细的操作步骤,按文档操作即可进行升级
CentOS升级openssh
qq_26057083的博客
03-24 3078
公司几台服务器扫出了几个openssh相关的漏洞,解决办法就是升级openssh版本。升级过程中踩坑较多,故作此博客记录。
Centos升级openssh
pursue.dreams的博客
09-02 1407
linux-centos 7升级openssh版本为最新版本
CentOS7 升级 openssh
weixin_44295677的博客
05-22 1334
openssl 使用 1.1.1.w。3.3 备份并删除openssl目录。3.2 卸载当前openssl。openssh升级到9.7。zlib 使用 1.3.1。2.1 下载zlib安装包。4.9 启动sshd服务。3.10 检查当前版本。4.10 检查当前版本。2.3 创建工作目录。3.1 查看当前版本。3.6 创建工作目录。3.9 更新系统配置。4.1 查看当前版本。4.2 卸载当前版本。4.5 创建工作目录。4.8 修改配置文件。
CentOS 升级 openSSH
debang2014010的专栏
12-26 293
openSSH作为linux远程连接工具,容易受到攻击,必须更新版本来解决,低版本有如下等漏洞: a. OpenSSH 远程代码执行漏洞(CVE-2016-10009) b. OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) c. OpenSSH 远程代码执行漏洞(CVE-2016-10009) 升级前漏洞扫描和openSHH...
CentOS升级openSSH9.8
Answer0902的博客
08-02 572
centOS升级openSSH9.8
centos7.9 升级openssh9.8p1
07-27
CentOS 7.9 系统上升级 OpenSSH 到版本 9.8p1 需要注意几个步骤,因为默认的 CentOS 7 安装包并不包含 OpenSSH 9.x 版本。以下是升级的一般指南: 1. **确认当前OpenSSH版本**: 打开终端,运行 `rpm -q ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值