转一篇关于open ssh漏洞修复的文章

最新推荐文章于 2024-05-02 11:25:32 发布
最新推荐文章于 2024-05-02 11:25:32 发布
阅读量731 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25725865/article/details/103784020
版权

客户及上级主部门经常会使用到某绿的扫描器对服务器进行扫描,经常出现open ssl版本漏洞,解决方案接只能升级,今天参照csdn博客上的某位大佬文章对客户服务器进行了加固,升级完成之后扫描漏洞消失。该文章仅做记录

重装openSSH更高级的版本解决安全漏洞问题,会导致我们常用的链接会断掉,有两种解决方案,一种是多开几个ssh的链接,因为openSSH断开后就不会新建链接[没测试过];另一个方案就是安装telnet替换,因为telnet的安全性问题,升级SSH成功后,最好将telnet服务关掉。
安装telnet服务
1、安装未安装的软件
安装telnet-server、telnet
查询是否安装
rpm -qa | grep telnet-server
rpm -qa | grep telnet
telnet-server.x86_64 1:0.17-64.el7
telnet.x86_64 1:0.17-64.el7
rpm -qa | grep xinetd
xinetd.x86_64 2:2.3.15-13.el7
1.1 在线安装
yum -y install xinetd
yum -y install telnet
yum -y install telnet-server

1.2 下载离线包
yum -y install --downloadonly --downloaddir=/home nfs-utils
这个指令,如果您的系统已经下载了相关安装包,那么这些rpm包是无法下载保存的
yum install --downloadonly --installroot=/tmp/createrepo --releasever=/ --downloaddir=/root/createrepo-rpms createrepo
这个指令可以解决上个指令的问题
两个指令均会下载相应的依赖包
downloadonly指出本次下载仅仅下载
downloaddir指定了保存的目录
Installroot 设置安装root

安装 rpm -ivh telnet.rpm
2、修改telnet文件
cd /etc/xinetd.d

Xinetd 托管服务。又名:超级守护进程,可以把一些小服务放到xinetd里进行托管。拖管后的好处就是可以使用xinetd强大的参数来控制这些服务,并且增强安全性。
修改telnet文件为:

default: yes

description: The telnet server servestelnet sessions; it uses \

unencrypted username/password pairs for authentication.

service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server =/usr/sbin/in.telnetd
log_on_failure += USERID
disable = no
}

3、启动telnet和依赖的xinetd服务
systemctl restart xinetd.service
查看启动ps -ef | grep xinetd 查看进程

chkconfig --list
[莫名其妙的就不能识别了!]
netstat -tunlp

4、添加23端口或关闭防火墙
关闭防火墙
systemctl stop firewalld.service

添加
firewall-cmd --zone=public --add-port=23/tcp --permanent (–permanent永久生效,没有此参数重启后失效)
重新载入
firewall-cmd --reload
查看
firewall-cmd --zone= public --query-port=23/tcp
删除
firewall-cmd --zone= public --remove-port=23/tcp --permanent

5、设置服务开机启动
chkconfig --level 35 xinetd on
systemctl enable xinetd.service

Error:telnet下root登录,密码正确,总提示:Login incorrect

解决1:注释/etc/pam.d/remote的第一行,
即:auth required pam_securetty.so
https://www.cnblogs.com/ilinuxer/p/5087447.html 介绍了pam

                                                                                   升级openSSH

1、查询当前的ssh版本
ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013

rpm -qa | grep openssh
openssh-6.6.1p1-31.el7.x86_64
openssh-server-6.6.1p1-31.el7.x86_64
openssh-clients-6.6.1p1-31.el7.x86_64

2、卸载当前的ssh
2.1、停止ssh服务
/bin/systemctl stop sshd.service

2.2、卸载openSSh
【yum remove openssh -y 】 可选 没测试

rpm -qa |grep openssh
openssh-6.6.1p1-31.el7.x86_64
openssh-server-6.6.1p1-31.el7.x86_64
openssh-clients-6.6.1p1-31.el7.x86_64

[root@localhost /]# rpm -e --nodeps openssh-server
[root@localhost /]# rpm -e --nodeps openssh-clients
[root@localhost /]# rpm -e --nodeps openssh

rpm -e --nodeps rpm -qa |grep openssh [–nodeps 强制卸载 不考虑其他软件的依赖关系]

2.3、备份原来的ssh配置文件
mv /etc/ssh /etc/ssh_bak

3、编译安装openssh
3.1 tar -zxvf openssh-7.9p1.tar.gz
3.2安装依赖包:
yum install gcc openssl-devel zlib-devel

离线安装:
yum install --downloadonly --installroot=/tmp/createrepo --releasever=/ --downloaddir=/root/openssh gcc openssl-devel zlib-devel

rpm -Uvh *.rpm --nodeps --force
[root@oracle openssh2]# rpm -Uvh *.rpm --nodeps –force
安装时,这两个包没装成功,不影响,注:centos包装了后会影响版本号
centos-release-7-6.1810.2.el7.centos.x86_64
filesystem-3.2-21.el7.x86_64

3.3 配置,安装
(1)./configure --sysconfdir=/etc/ssh/ --with-md5-passwords
缺省安装路径为:/usr/local/bin/ssh
make && make install

(2)./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --without-hardening
–prefix=/usr/local/openssh 安装路径
–sysconfdir=/etc/ssh 配置文件路径
–with-pam 认证模块 在/etc/pam.d/目录下管理,启用PAM,需要有一个控制文件,按照提示的路径找到redhat/sshd.pam,并复制到/etc/pam.d/sshd,在/etc/ssh/sshd_config中打开UsePAM yes --with-md5-passwords 使用md5加密 --without-hardening 加强

3.4 拷贝ssh服务文件
cp ./contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd

3.5修改SSHD服务文件
vim /etc/init.d/sshd
修改以下内容
SSHD=/usr/sbin/sshd 为 SSHD=i
/usr/sbin/ssh-keygen -A 为 /usr/local/bin/ssh-keygen -A
保存退出

在$SSHD $OPTIONS && success || failure这句话前面加一句:
OPTIONS="-f /etc/ssh/sshd_config"

3.6 配置开机启动
chkconfig --add sshd
chkconfig sshd on

/etc/ssh openSSH配置文件路劲
/etc/init.d/
[独立运行的守护进程由init脚本负责管理,所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下]

ERROR:Ssh服务器拒绝了密码

————————————————
版权声明:本文为CSDN博主「wuxianfeng1987」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/wuxianfeng1987/article/details/88101116

安全我只会360
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssh7.6之前漏洞
冰恋云的专栏
12-16 1466
记录一下遇到的一下安全漏洞 解决方法:升级到openssh8+ 参考链接https://www.openssh.com/txt/release-7.6 https://www.openssh.com/ https://github.com/openbsd/src/commit/779974d35b4859c07bc3cb8a12c74b43b0a7d1e0
OpenSSH 曝远程代码执行漏洞,尽快升级
Jack__CJ的博客
12-23 4268
导读   12月19日,国外漏洞平台 securityfocus上发布了最新的 OpenSSH(CVE-2016-10009)远程代码执行漏洞。由于问题出在ssh-agent,这个进程默认不启动、只在多主机间免密码登录时才会用到,漏洞利用条件也比较苛刻,因此官方漏洞评级仅“中危”。用户仍需尽快升级至最新版本。 OpenSSH 7.4已于2016年12月19日正
openssh-6.6p1-1.x86_64.rpm
01-16
这个是编译完成的,RHEL平台测试能用,如果不能用,可以试我发的另一个源码版本,是openssl6.7.
一键解决80%的Linux系统高危漏洞软件-之openssh9.7最新(粉丝送福利)
最新发布
huiyangxu blog
05-02 1186
下面是我这一台Centos6.5的老版本操作系统,没有更新openssh之前的漏洞扫描信息,可以看得出来高风险全是openssh(本漏扫使用最新的规则库2024-04-04发布的)Linux系统默认的OPENSSH版本比较低,等保等安全检查时,一定会被扫出来高风险漏洞,而高风险是等保三的否决项,一定要解决。网上大部分的解决的办法就是源码编译安装openssh,编译的时间较长,也比较麻烦,小白的话很容易做错导致系统登录不进去了。更新openssh之后再漏扫检查,可以看出来,己经没有高风险漏洞了!
putty访问openssh 6.6.1访问拒绝
求索
01-04 2271
centos的openssh 5.3升级到6.6.1后,putty连接上去输入用户名和密码后提示“Access denied”. 解决方法: /etc/ssh/sshd_config "UsePAM yes" 改为 “UsePAM no” 重启sshd服务即可
openSSH离线升级(6.6->7.9),解决Linux安全漏洞(CVE-2018-15473)
qq_40997700的博客
08-25 1267
链接:https://pan.baidu.com/s/1HjAbNBcRdBOL1hUL-dgoyA 提取码:d0q6 linux ssh6.6离线升级为7.4 1.随便找个文件夹把sshUpdate文件夹放进去,比如放到opt文件夹下 2.rpm -ivh .rpm --force --nodeps(cd到sshUpdate文件夹) 3.把libcrypto.so.1.0.2k 复制到usr/lib64中 4.删除软连接rm -rf /lib64/libcrypto.so.10 5.重新设置ln -s /
漏洞预警:OpenSSH 出现远程执行代码漏洞
weixin_33709590的博客
06-06 1003
SecurityFocus 在其网站上公布了一个关于 OpenSSH漏洞,信息如下: OpenSSH CVE-2016-10009 远程执行代码漏洞 Bugtraq ID:94968 Class:Unknown CVE:CVE-2016-10009 Remote:Yes Local:No Published:Dec 19 2016 12:00AM U...
open-ssh用户枚举漏洞
02-01
open-ssh用户枚举漏洞验证
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)
02-22
OpenSSH 9.6p1是该软件的一个重要更新,主要修复了多个安全漏洞。其中,包括对中间人攻击的防御增强,防止了通过密钥交换阶段的漏洞进行密码嗅探。此外,它还解决了可能导致拒绝服务(DoS)攻击的问题,比如内存泄漏...
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站的安全性。以下是 Nginx 漏洞修复文档的相关知识点: 1. X-Content-Type-Options 响应头缺失 X-...
OpenEuler20.03升级SSH 9.7p1所用到的包
04-29
2. **SSH 9.7p1的特点**:新版本可能包括性能优化、安全漏洞修复、新特性支持和更好的兼容性。例如,它可能增强了密码和密钥验证的安全性,提高了多线程性能,以及对最新加密算法的支持。 3. **升级前准备**:在...
ubuntu open ssh 离线安装包
03-22
1.将4个文件放在一个单独的文件夹中,建议新建一个 2.命令行进入该文件夹 cd [你的新建文件夹] 3.执行 sudo dpkg -i openssh-client_7.2p2-4_amd64.deb sudo dpkg -i openssh-sftp-server_7.2p2-4_amd64.deb ...
openSSH升级解决安全漏洞问题
热门推荐
破晓的专栏
03-04 1万+
重装openSSH更高级的版本解决安全漏洞问题,会导致我们常用的链接会断掉,有两种解决方案,一种是多开几个ssh的链接,因为openSSH断开后就不会新建链接[没测试过];另一个方案就是安装telnet替换,因为telnet的安全性问题,升级SSH成功后,最好将telnet服务关掉。...
升级OpenSSH修复高危漏洞
CourageHe的博客
10-28 3707
升级OpenSSH修复高危漏洞 OpenSSH 是一款用于远程登录的连接工具,它使用 SSH 协议。 它会加密客户端与服务器之间的所有流量,从而遏止窃听、连接劫持和其他攻击。 最近服务器安全扫描产生的五六个与openssh有关的漏洞漏洞描述基本都是服务器所使用的openssh版本过低,存在严重的高危漏洞和中危漏洞。因此,处理方法是升级openssh至最新版本。该漏洞比较常见,处理过程中也出现了几个问题,因此记录此文。 1、查看当前版本信息 [root@CourageHe ~]# ssh -V Ope
linux怎吗卸载openssh,卸载并重装openssh(解决ssh -1问题)
weixin_30670859的博客
05-05 6073
在集群测试过程中,有一个节点的openssh装的有问题,需要ssh -1 才能登录,导致多节点的mpi无法使用。修改配置文件什么的也没有用(也许是我改的不对。。)最后决定直接重装openssh1. 卸载先查看openssh的相关包[root@node51 ~]# rpm -qa openssh*openssh-server-6.6.1p1-11.el7.x86_64openssh-6.6.1p1-...
Linux服务器,ssh服务突然失效的解决方法
guodongtanghe的专栏
07-05 6913
公司某台服务器不知为何无法ssh连接上,进入现场查看: 1.执行netstat -atnlp|grep ssh,没有找到ssh端口 2.执行ps aux|grep ssh,没找到相关进程 3.执行service sshd start,显示绿色的OK,但用ps和netstat看不到ssh任何信息,echo $?结果为0 4.执行service sshd status,显示:openssh-daemon is stopped 4.执行service sshd stop,无报错信息,echo $?结果.
机房漏洞扫描-opensshopenssl升级修复扫描漏洞
qq_42969826的博客
06-22 2770
第一次写博客,只用于解决,本次升级所涉及的相关问题 目录 涉及漏洞OpenSSH 命令注入漏洞(CVE-2020-15778) (升级解决) OpenSSH 输入验证错误漏洞(CVE-2019-16905) (升级解决) OpenSSH 安全漏洞(CVE-2016-1908) (OpenSSH 7.2版本...
【原创】centos7.1升级openssh6.6p1至7.6p1版本
weixin_30270889的博客
01-10 367
注:此文章属原创,载请注明出处,谢谢。 1. 环境信息: (vm, centos 7.1 x64)# rpm -qa | grep opensshopenssh-server-6.6.1p1-11.el7.x86_64openssh-6.6.1p1-11.el7.x86_64openssh-clients-6.6.1p1-11.el7.x86_64# rpm -qa | grep ope...
openssh6.6.1对应jsch要求_基本满足8K/60传输要求的HDMI 2.1规格
weixin_42611310的博客
01-10 177
信号传输是家庭影院定制安装领域的基础环节,没有稳定的信号传输,优秀的画面与声音何从谈起。在家庭影院领域,不管是信号源设备,还是AV放大器、家庭影院投影机都是采用HDMI接口。因此,在谈起家庭影院定制安装传输标准细则的时候,我们就不能不谈最新的HDMI 2.1规格。尽管目前绝大部分的设备仍然是基于HDMI 2.0规格,但是不久的将来我们必须要满足8K/60的8K超高清传输需求,这就需要家庭影院系统中...
一篇关于OpenAi基金的介绍
02-20
OpenAI基金是由业界领先的技术领导者组成的非营利性机构,旨在推进人工智能的发展,以此来改善人类的生活。OpenAI的目标是建立开放、可靠的智能机器,能够推动人类的发展,改善生活质量和解决全球性问题。OpenAI通过支持研究和发展人工智能技术,培训机器学习算法,并开发开放的人工智能系统,以实现这一目标。OpenAI也在开发深度学习技术,以推动人工智能和自动化技术在不同领域的应用,如自然语言处理、计算机视觉、人工智能游戏等。OpenAi基金的目标是构建一个健康的人工智能生态系统,促进人工智能技术的发展和应用,最终改善人类生活。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值