Centos 7.x下ssh的升级

最新推荐文章于 2024-04-28 19:23:57 发布
最新推荐文章于 2024-04-28 19:23:57 发布
阅读量2.1k 收藏 2
点赞数
文章标签: linux centos ssh mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mseaspring/article/details/122033243
版权

一 前言

有云主机的朋友,应该都有被挖矿木马骚扰的经历, 不堪其扰,虽然也封了IP,限制了端口,但是仍然免不了中招,一朋友说需要升级下openssh,虽然也知道,但是总觉得麻烦,最后还是发狠来升级一把,下面记录下升级过程和一些注意事项。

本文是在CentOS Linux release 7.7.1908 (Core)和CentOS Linux release 7.5.1804 (Core) 均验证过。

二  升级准备

2.1 简单升级ssh

升级前,可以先通过yum做个简单的升级:

yum update openssh -y

2.2 安装telnet

防止有问题的时候,无法登录到主机上去的问题,多一个保证。

yum install xinetd telnet-server -y
vi  /etc/xinetd.d/telnet
# 黏贴到下一段内容:
service telnet
{
    disable = yes
    flags       = REUSE
    socket_type = stream       
    wait        = no
    user        = root
    server      = /usr/sbin/in.telnetd
    log_on_failure  += USERID
}

# 文件允许你规定“root”用户可以从哪个tty设备登录、
# 它的格式:列出来的tty设备都是允许登录的,注释掉或是在这个文件中不存在的都是不允许root登录的
vim /etc/securetty
#尾部添加:
xvc0
pts/0
pts/1
pts/2
pts/3

# 设置开机启动
systemctl enable xinetd
systemctl enable telnet.socket

#启动
systemctl start telnet.socket
systemctl start xinetd

这时候可以通过netstat -antp|grep 23 查看端口是否监听,一般都是正常监听的,如果远程无法登录,可以查看防火墙是否禁止了,如果是云主机,需要在云主机的控制台上查看,是否开启了23端口的访问。

# 查看防火墙状态
systemctl status firewalld
# 查看是否开启端口
firewall-cmd --query-port=23/tcp
#添加23端口
firewall-cmd --zone=public --add-port=23/tcp --permanent
#再次查询
firewall-cmd --query-port=23/tcp
# 重新加载规则
firewall-cmd --reload

2.3 安装编译工具

# 编译工具安装
yum install  -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel
#  安装pam和zlib
yum install  -y pam* zlib*

三 升级openssl和openssh

3.1 编译安装openssl和openssh

openssh依赖openssl的库,另外要注意版本匹配问题,如果版本不匹配,会安装失败,请严格按照我下载版本来,目前测试是ok的:

# 2021年12月19日最新版本
wget --no-check-certificate https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.8p1.tar.gz
#配套的openssl,这个版本是适配的,再高的不确定。
wget  --no-check-certificate https://ftp.openssl.org/source/old/1.1.1/openssl-1.1.1l.tar.gz

# 安装openssl---------------------------------------
tar xfz  openssl-1.1.1l.tar.gz
cd  ./openssl-1.1.1l/
./config shared --prefix=/usr/local/ssl && make && make install

#备份老的openssl
mv /usr/bin/openssl /usr/bin/openssl_bak
mv /usr/include/openssl /usr/include/openssl_bak
# 删除
rm /usr/bin/openssl
rm /usr/include/openssl

# 建立我们编译好的软连接
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
 ln -s /usr/local/ssl/include/openssl /usr/include/openssl
 #确认 版本是否是对的
[root@iZbp10p2g1civrw4ggigvfZ openssl-1.1.1l]#  /usr/bin/openssl version
OpenSSL 1.1.1l  24 Aug 2021

# 添加动态链接库,并生效
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig

# 安装openssh-------------------------------------
tar xfz openssh-8.8p1.tar.gz
cd openssh-8.8p1 
# 删除老的配置
 rm -rf /etc/ssh/*
./configure --prefix=/usr/ --sysconfdir=/etc/ssh  --with-openssl-includes=/usr/local/ssl/include \
 --with-ssl-dir=/usr/local/ssl --without-openssl-header-check   --with-zlib   --with-md5-passwords   --with-pam  && make && make install

#更改配置/etc/ssh/sshd_config 设置准许远程root登录,要保证
[root@linux-node3 ~]# grep "^PermitRootLogin"  /etc/ssh/sshd_config
PermitRootLogin yes
[root@linux-node3 ~]# grep  "UseDNS"  /etc/ssh/sshd_config
UseDNS no
# 拷贝
[root@linux-node3 /data/tools/openssh-8.0p1]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd
[root@linux-node3 /data/tools/openssh-8.0p1]# cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
[root@linux-node3 /data/tools/openssh-8.0p1]# chmod +x /etc/init.d/sshd

# 移动走或删除,然后重新生成 不然不能通过systemctl启动
 [root@localhost openssh-8.6p1]# mv  /usr/lib/systemd/system/sshd.service  ./
# 添加开机启动
[root@linux-node3 /data/tools/openssh-8.0p1]# chkconfig --add sshd
[root@linux-node3 /data/tools/openssh-8.0p1]# systemctl enable sshd
# 开启
 [root@linux-node3 /data/tools/openssh-8.0p1]# systemctl start sshd

四 可能遇到的坑

openssh升级后,私钥会变化的,需要重新做互信关系。

4.1  systemctl  无法启动升级后的sshd

检查如下:

  1. 通过 systemctl status sshd 查看失败原因:

sshd : Unregistered Authentication Agent for unix-process

问题原因:

1. /usr/lib/systemd/system/sshd.service 没有删除
2. 删除后通过systemctl enable sshd重新生成

  1. 其他错误原因检查手段:

/usr/sbin/sshd -T 命令查看配置是否有问题
 /usr/sbin/sshd -ddd 调试模式下运行

4.2 无法远程登录

  1. 检查防火墙,本机的和云主机控制台的。本机防火墙,如上telnet开放端口的方法。

  2. 验证selinux 是否关闭

getenforce
如果未关闭,关闭之
setenforce 0
上面只是临时关闭了,重启后不生效。下面改配置文件,使永久生效。
vi /etc/selinux/config
修改:
SELINUX=disabled
保存退出。

  1. 升级最新的xshell等最新终端工具,不然连不上 或者改下老的算法支持

  2. 在鉴权日志中发现报错:

pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root".

检查以下配置,注释掉:

/etc/pam.d/login 控制台(管理终端)对应配置文件
/etc/pam.d/sshd 登录对应配置文件
/etc/pam.d/system-auth 系统全局配置文件
/etc/pam.d/password-auth 
取消相关配置:
auth        required      pam_succeed_if.so uid = 1000   #取消相关配置
mseaspring
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos7 升级openssh
Jietewang的博客
07-23 1559
前言 因为生产环境主机一直被通报存在openssh漏洞,报告显示小于某个版本存在很多的漏洞,没办法只能更新对应的版本,记录一下升级过程和一些坑点。已知的任何文档都有不可能完全解决我们即将面对的未知问题,所以建议多动手,多分析。建议在生产服务器操作时先使用同版本的系统到虚拟机上测试。整个过程会升级openssl和openssh,如果有人看到这篇文章并根据指导升级过程中出现问题,建议分开搜索相关升级流程。建议关闭防火墙和seLinux 1.版本对比 升级前旧版 升级后新版 2...
centos7离线升级openssh9.4包含升级脚本
09-15
centos7 离线升级 openssh9.4 包含升级脚本
CentOS升级OpenSSH_9.3p2(RPM升级+源码升级
最新发布
qq_42778160的博客
04-28 1027
升级OpenSSH是一个危险系数比较高的操作,一旦出现意外情况,会导致无法ssh登录设备。一定要确保除ssh外 要有其他登录方式能够连接到设备。我这里升级ssh是因为漏扫 扫出来很多openssh相关漏洞,一共73台设备,分为CentOS-8.2、CentOS-7.9。其中7.9系统又包含x86_64架构和ARM(aarch64)架构的系统,环境比较复杂。升级OpenSSH这里有两种方法,一是构建SSH RPM包升级,另一种就是源码编译升级
Centos7.x离线升级OpenSSH步骤
张顶飞的博客
09-11 945
我们用的版本,Centos7.x版本的操作系统,自带的openssh版本是7.4,该版本是有漏洞的,这是我们扫描出的漏洞报告漏洞名称:OpenSSH 用户枚举漏洞(CVE-2018-15473)。OpenSSH-7.8及以后的版本都修复了该漏洞,此文我们将升级OpenSSH版本至8.4版本。注:建议生产环境升级前要先做测试。
CentOS离线升级OpenSSH至9,2024年最新面经解析
weixin_57485542的博客
04-17 1082
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。
Linux Centos7内网服务器离线升级openssh9.3
weixin_45087884的博客
05-31 4987
这个问题是 c语言编译环境不对,这个是最麻烦的问题,因为找不到缺少了哪些包,查看config.log会提示缺少某个文件,一般是缺少gcc,gcc-c++,kernel-headers等,把这几个安装上再试试。注意:这一步不能出现错误,如果出现错误一般是缺少依赖,缺少哪个就安装上面准备的包即可,基本上根据名字就能看出是哪个包,稍有不同的下面已经列出来了。4.卸载旧版本,务必上一步完成之后再进行这一步,因为旧版本卸载之后将无法使用ssh登陆服务器和上传文件。编译结果如下图即为成功。10.设置开机自动启动。
centos7.x-ssh9.3p1-ssl1.1.1u一键升级脚本
07-03
centos7.x_ssh9.3p1_ssl1.1.1u升级脚本, 特点: 1、同时升级openssh与openssl,采用rpm包形式,一键快速升级版本,无需每台单独再次进行编译, 2、隐藏openssh-版本号 3、保留scp与ssh-copy-id命令 安装: 执行 ...
centos7.x-ssh9.3p2-ssl1.1.1u-rpm-x86-64升级脚本
07-27
1、同时升级openssh与openssl,采用rpm包形式,一键快速升级版本,无需每台单独再次进行编译, 2、隐藏openssh-版本号 3、保留scp与ssh-copy-id命令 安装: 执行 bash upgrade_ssl_ssh.sh 进行安装 验证 openssl...
centos7.x-ssh9.4p1-ssl1.1.1v-rpm-x86-64一键升级加固脚本
08-29
1、同时升级openssh与openssl,采用rpm包形式,一键快速升级版本,无需每台单独再次进行编译, 2、隐藏openssh-版本号 3、保留scp与ssh-copy-id命令 4、已默认安全加固(已有配置跳过) 安装: 执行 bash upgrade_...
centos7.x-ssh9.4p1-ssl1.1.1w-rpm-x86-64升级加固脚本
09-18
1、同时升级openssh与openssl,采用rpm包形式,一键快速升级版本,无需每台单独再次进行编译, 2、隐藏openssh-版本号 3、保留scp与ssh-copy-id命令 4、已默认安全加固(已有配置跳过) 安装: 执行 bash upgrade_...
红帽、Centos6.x、7.x升级Openssh8.3详细教程
11-25
红帽、Centos6.x、7.x升级Openssh8.3详细教程,附带安装包zlib、openssl、openssh,内附链接。
centos7更新openssh7.9
12-07
centos7最新的openssh的安装 执行命令 yum -y --disablerepo=\* localinstall *.rpm /bin/cp -f /etc/ssh/sshd_config.rpmnew /etc/ssh/sshd_config sed -i "s/.*PermitRootLogin.*/PermitRootLogin yes/" /etc/ssh/sshd_config chmod 600 -R /etc/ssh/ systemctl restart sshd
Centos7.6系统升级openssh
孤鹰的博客
07-25 665
首先,我需要强调,尽管我会提供基本的升级步骤,但在操作前,你需要确保已经创建了所有重要数据和配置的备份。升级过程中如果出现任何错误,可能会导致数据丢失。这是你需要做好的准备工作。接下来,我们可以按照以下步骤操作:1. **准备工作**:首先需要获取 root 权限,因为安装和升级系统软件需要 root 权限。在命令行中输入以下命令:```su```或者如果你在使用支持sudo的系统,你可以使用:```sudo su```输入你的密码以获取root权限。
centos7升级最新版openssh&&openssl
jess的博客
05-05 2091
openssh&&openssl升级
linux
bluewelkin的专栏
12-12 1057
Unregistered Authentication Agent for unix-process:8419:67059806 (system bus name :1.2658, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8) -------------------------...
CentOS7升级SSH8.0
齐光的博客
07-10 1023
CentOS7升级SSH8.0
CentOS离线升级OpenSSH至9,2024年最新涨薪7K
2401_83946722的博客
04-15 724
登录失败,这个为正常现象,因为系统默认禁止root用户使用telnet登录终端,我们在日志中查看登录使用的终端并在/etc/securetty中解除禁止即可。我们升级OpenSSH采用的是卸载主机中老版本的OpenSSH,再安装新版本的OpenSSH,依此来达成升级并解决漏洞的问题。2、安装telnet-client、telnet-server、xinetd。1、查看系统中安装的OpenSSH、OpenSSL。3、卸载系统中安装的OpenSSH、OpenSSL。7、防火墙放行telnet服务的23端口。
centos7启动mongodb4.4由于selinux权限问题导致报错
welisa的博客
05-07 2111
环境: 系统:CentOS Linux release 7.9.2009 (Core) Linux node1 3.10.0-1160.11.1.el7.x86_64 #1 SMP Fri Dec 18 16:34:56 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux MongoDB: > db.version() 4.4.5 启动MongoDB,报如下错误: -- Unit mongod.service ......
ssh连接提示密码错误
ydZ157的博客
03-06 4383
pam_succeed_if(sshd :auth): requirement "uid >= 1000" not met bu user "root'

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值