linux更新ssh、ssl版本
1、问题描述
OpenSSH 用户枚举漏洞(CVE-2018-15473)
OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。攻击者可通过发送特制的请求利用该漏洞枚举用户名称。
2、安装插件
[root@localhost ~]# yum update openssh -y
[root@localhost ~]# yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel
3、下载ssl和ssh升级包【个人习惯放到/usr/local/soft目录下】
[root@localhost ~]# cd /usr/local/soft
[root@localhost soft]# wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz --no-check-certificate
[root@localhost soft]# wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.3p1.tar.gz --no-check-certificate
4、解压文件
[root@localhost soft]# tar -zxvf openssh-8.3p1.tar.gz
[root@localhost soft]# tar -zxvf openssl-1.1.1g.tar.gz
# 移动到local下【个人习惯】
[root@localhost soft]# mv openssh-8.3p1 ../
[root@localhost soft]# mv openssl-1.1.1g ../
5、更新权属
[root@localhost local]# chown -R root.root openssh-8.3p1
[root@localhost local]# chown -R root.root openssl-1.1.1g
6、升级SSL
## 备份
mv /usr/bin/openssl /usr/bin/openssl_bak
mv /usr/include/openssl /usr/include/openssl_bak
## 安装
[root@localhost ~]# cd /usr/local/openssl-1.1.1g/
[root@localhost openssl-1.1.1g]# ./config --prefix=/usr/local/openssl shared && make && make install
## 创建软链接
[root@localhost openssl-1.1.1g]# ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
[root@localhost openssl-1.1.1g]# ln -s /usr/local/openssl/include/openssl /usr/include/openssl
## 更改配置
[root@localhost openssl-1.1.1g]# echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
## 重启
[root@localhost openssl-1.1.1g]# ldconfig
## 查看更新后的版本
[root@localhost openssl-1.1.1g]# openssl version
7、升级SSH
## 备份
cp -r /etc/ssh /tmp/
rm -rf /etc/ssh
## 安装
[root@localhost ~]# cd /usr/local/openssh-8.3p1/
[root@localhost openssh-8.3p1]# ./configure --with-zlib --with-ssl-dir=/usr/local/openssl --with-pam --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh make && make install
## 更改权限
[root@localhost ssh]# chown root.root /etc/ssh
[root@localhost ssh]# chmod 600 ssh_host_ecdsa_key
[root@localhost ssh]# chmod 600 ssh_host_ed25519_key
[root@localhost ssh]# chmod 600 ssh_host_rsa_key
## 重启
[root@localhost ssh]# service sshd restart
## 查看更新后的版本
[root@localhost ssh]# ssh -V
8、常见问题
1、sshd 重启报错
问题原因:
文件权限错误,使用的文件权限太高了。
解决方案:
将文件的权限设置为600
2、如果重新安装,openssl文件夹无法删除
问题原因:
安装时创建的openssl文件夹是没有删除权限的
解决方案:
chattr -i openssl
3584
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
