Linux环境下OpenSSH升级到 OpenSSH_9.5p1（内置保姆级教程）

荒Huang

已于 2024-04-10 11:28:53 修改

阅读量6.9k

点赞数 30

文章标签：服务器 linux 安全

于 2023-12-27 10:45:52 首次发布

本文链接：https://blog.csdn.net/m0_52985087/article/details/135217886

版权

我最近在修复服务器的openssh漏洞的时候是服务器生产环境，自己在做的时候，就遇到的重启之后直接断掉ssh的连接，最后发现原因是没配置sshd_config的允许远程用户登录，因此，在此记录一下升级openssh的操作步骤，希望能够帮到初学者。

漏洞描述

OpenSSH（OpenBSD Secure Shell）是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 9.3p2之前版本存在安全漏洞，该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。

CVE编号	CVE-2023-38408
CNNVD编号	CNNVD-202307-1721
CNCVE编号	CNCVE-202338408

解决方法：升级openssh版本

操作步骤

1.下载地址

openssl下载地址（不是最新版的）：/source/old/index.html

openssh下载地址：Index of /pub/OpenBSD/OpenSSH/portable/
点击即可下载对应的openssh的版本。

2.准备工作

注意：如果是生产环境提前应该将服务器进行快照备份，以便出现问题能够恢复。或者多开几个命令窗口，通过telnet工具连接升级的openssh服务器。

（1）查看原来的openssh版本和openssl版本

sshd -V

（2）先准备好gcc、zlib、openssl的环境

若是当前服务器能够联网，那么就可以采用yum或apt等命令去下载所需要的各个依赖。

yum -y install gcc pam-devel zlib-devel openssl-devel

（3）对原来的openssh相关的文件进行备份

cp -r -a /etc/ssh/ /etc/ssh.bak

cp -r -a /etc/pam.d/ /etc/pam.d.bak

mv /usr/sbin/sshd /usr/sbin/sshd.bak

mv /usr/bin/ssh /usr/bin/ssh.bak

mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak

3.将openssh文件上传并解压

tar -zxvf openssh-9.5p1.tar.gz

4.卸载原系统的openssh包

此命令会将找到的openssh相关的rpm包强制删除。

rpm -e --nodeps `rpm -qa | grep openssh`

5.编译安装openssh

（1）切换到解压后的openssh目录

cd openssh-9.5p1

（2）初始化openssh

./configure --prefix=/usr/local/openssh9p5 --sysconfdir=/etc/ssh --with-pam ---with-md5-passwords --with-zlib

若出现如下错误：那我们就重新编译安装高一点版本的openssl

error: OpenSSL >= 1.1.1 required (have "100020bf (OpenSSL 1.0.2k-fips 26 Jan 2017)")

重新下载一个openssl 我选择的是openssl1.1.1d版本，上传到服务器之后。

1）编译安装openssl如下：

tar -zxvf openssl-1.1.1d.tar.gz

cd openssl-1.1.1d

./config --prefix=/usr/local/openssl -d shared

make && make install

2）重新初始化openssh

这次我们在初始化的时候加上刚刚安装好openssl的目录。

./configure --prefix=/usr/local/openssh9p5 --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --with-zlib

（3）编译安装

make && make install

6.复制新的配置文件到原来目录

cp /usr/local/openssh9p5/etc/sshd_config /etc/ssh/sshd_config

cp /usr/local/openssh9p5/sbin/sshd /usr/sbin/sshd

cp /usr/local/openssh9p5/bin/ssh /usr/bin/ssh

cp /usr/local/openssh9p5/bin/ssh-keygen /usr/bin/ssh-keygen

cp -p contrib/redhat/sshd.init /etc/init.d/sshd

7.修改权限

chmod +x /etc/init.d/sshd

8.修改sshd_config文件（重要）

vim /etc/ssh/sshd_config

PermitRootLogin yes 、PubkeyAuthentication yes、PasswordAuthentication yes 将配置文件中这几个改为yes.

说明：

PermitRootLogin yes：允许root用户通过SSH登录到系统（最最最重要这个一定要设置，不然你重启sshd服务之后就不能远程连接了）
PubkeyAuthentication yes：启用公钥身份验证
PasswordAuthentication yes：启用密码身份验证

9.开机自启

systemctl enable sshd

10.重启sshd

systemctl restart sshd

11.验证

sshd -V

荒Huang

关注

30
点赞
踩
54

收藏

觉得还不错? 一键收藏
5
评论
Linux环境下OpenSSH升级到 OpenSSH_9.5p1（内置保姆级教程）

我最近在修复服务器的openssh漏洞的时候是服务器生产环境，自己在做的时候，就遇到的重启之后直接断掉ssh的连接，最后发现原因是没配置sshd_config的允许远程用户登录，因此，在此记录一下升级openssh的操作步骤，希望能够帮到初学者。
复制链接

扫一扫