转一篇关于open ssh漏洞修复的文章

最新推荐文章于 2024-05-02 11:25:32 发布
最新推荐文章于 2024-05-02 11:25:32 发布
阅读量737 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25725865/article/details/103784020
版权

客户及上级主部门经常会使用到某绿的扫描器对服务器进行扫描,经常出现open ssl版本漏洞,解决方案接只能升级,今天参照csdn博客上的某位大佬文章对客户服务器进行了加固,升级完成之后扫描漏洞消失。该文章仅做记录

重装openSSH更高级的版本解决安全漏洞问题,会导致我们常用的链接会断掉,有两种解决方案,一种是多开几个ssh的链接,因为openSSH断开后就不会新建链接[没测试过];另一个方案就是安装telnet替换,因为telnet的安全性问题,升级SSH成功后,最好将telnet服务关掉。
安装telnet服务
1、安装未安装的软件
安装telnet-server、telnet
查询是否安装
rpm -qa | grep telnet-server
rpm -qa | grep telnet
telnet-server.x86_64 1:0.17-64.el7
telnet.x86_64 1:0.17-64.el7
rpm -qa | grep xinetd
xinetd.x86_64 2:2.3.15-13.el7
1.1 在线安装
yum -y install xinetd
yum -y install telnet
yum -y install telnet-server

1.2 下载离线包
yum -y install --downloadonly --downloaddir=/home nfs-utils
这个指令,如果您的系统已经下载了相关安装包,那么这些rpm包是无法下载保存的
yum install --downloadonly --installroot=/tmp/createrepo --releasever=/ --downloaddir=/root/createrepo-rpms createrepo
这个指令可以解决上个指令的问题
两个指令均会下载相应的依赖包
downloadonly指出本次下载仅仅下载
downloaddir指定了保存的目录
Installroot 设置安装root

安装 rpm -ivh telnet.rpm
2、修改telnet文件
cd /etc/xinetd.d

Xinetd 托管服务。又名:超级守护进程,可以把一些小服务放到xinetd里进行托管。拖管后的好处就是可以使用xinetd强大的参数来控制这些服务,并且增强安全性。
修改telnet文件为:

default: yes

description: The telnet server servestelnet sessions; it uses \

unencrypted username/password pairs for authentication.

service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server =/usr/sbin/in.telnetd
log_on_failure += USERID
disable = no
}

3、启动telnet和依赖的xinetd服务
systemctl restart xinetd.service
查看启动ps -ef | grep xinetd 查看进程

chkconfig --list
[莫名其妙的就不能识别了!]
netstat -tunlp

4、添加23端口或关闭防火墙
关闭防火墙
systemctl stop firewalld.service

添加
firewall-cmd --zone=public --add-port=23/tcp --permanent (–permanent永久生效,没有此参数重启后失效)
重新载入
firewall-cmd --reload
查看
firewall-cmd --zone= public --query-port=23/tcp
删除
firewall-cmd --zone= public --remove-port=23/tcp --permanent

5、设置服务开机启动
chkconfig --level 35 xinetd on
systemctl enable xinetd.service

Error:telnet下root登录,密码正确,总提示:Login incorrect

解决1:注释/etc/pam.d/remote的第一行,
即:auth required pam_securetty.so
https://www.cnblogs.com/ilinuxer/p/5087447.html 介绍了pam

                                                                                   升级openSSH

1、查询当前的ssh版本
ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013

rpm -qa | grep openssh
openssh-6.6.1p1-31.el7.x86_64
openssh-server-6.6.1p1-31.el7.x86_64
openssh-clients-6.6.1p1-31.el7.x86_64

2、卸载当前的ssh
2.1、停止ssh服务
/bin/systemctl stop sshd.service

2.2、卸载openSSh
【yum remove openssh -y 】 可选 没测试

rpm -qa |grep openssh
openssh-6.6.1p1-31.el7.x86_64
openssh-server-6.6.1p1-31.el7.x86_64
openssh-clients-6.6.1p1-31.el7.x86_64

[root@localhost /]# rpm -e --nodeps openssh-server
[root@localhost /]# rpm -e --nodeps openssh-clients
[root@localhost /]# rpm -e --nodeps openssh

rpm -e --nodeps rpm -qa |grep openssh [–nodeps 强制卸载 不考虑其他软件的依赖关系]

2.3、备份原来的ssh配置文件
mv /etc/ssh /etc/ssh_bak

3、编译安装openssh
3.1 tar -zxvf openssh-7.9p1.tar.gz
3.2安装依赖包:
yum install gcc openssl-devel zlib-devel

离线安装:
yum install --downloadonly --installroot=/tmp/createrepo --releasever=/ --downloaddir=/root/openssh gcc openssl-devel zlib-devel

rpm -Uvh *.rpm --nodeps --force
[root@oracle openssh2]# rpm -Uvh *.rpm --nodeps –force
安装时,这两个包没装成功,不影响,注:centos包装了后会影响版本号
centos-release-7-6.1810.2.el7.centos.x86_64
filesystem-3.2-21.el7.x86_64

3.3 配置,安装
(1)./configure --sysconfdir=/etc/ssh/ --with-md5-passwords
缺省安装路径为:/usr/local/bin/ssh
make && make install

(2)./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --without-hardening
–prefix=/usr/local/openssh 安装路径
–sysconfdir=/etc/ssh 配置文件路径
–with-pam 认证模块 在/etc/pam.d/目录下管理,启用PAM,需要有一个控制文件,按照提示的路径找到redhat/sshd.pam,并复制到/etc/pam.d/sshd,在/etc/ssh/sshd_config中打开UsePAM yes --with-md5-passwords 使用md5加密 --without-hardening 加强

3.4 拷贝ssh服务文件
cp ./contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd

3.5修改SSHD服务文件
vim /etc/init.d/sshd
修改以下内容
SSHD=/usr/sbin/sshd 为 SSHD=i
/usr/sbin/ssh-keygen -A 为 /usr/local/bin/ssh-keygen -A
保存退出

在$SSHD $OPTIONS && success || failure这句话前面加一句:
OPTIONS="-f /etc/ssh/sshd_config"

3.6 配置开机启动
chkconfig --add sshd
chkconfig sshd on

/etc/ssh openSSH配置文件路劲
/etc/init.d/
[独立运行的守护进程由init脚本负责管理,所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下]

ERROR:Ssh服务器拒绝了密码

————————————————
版权声明:本文为CSDN博主「wuxianfeng1987」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/wuxianfeng1987/article/details/88101116

安全我只会360
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSH 命令注入漏洞(CVE-2020-15778)复现
weixin_47531489的博客
07-20 1万+
1 简介 OpenSSHSSH(SecureSHell)协议的免费开源实现。OpenSSH是个SSH的软件,linux/unix都用openssh软件提供SSH服务。scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。 2 漏洞概述 该漏洞编号CVE-2020-15778。OpenSSH的8.3p1及之前版本中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。 漏洞等.
openssh漏洞修复
Top725的博客
06-09 3619
** 一、升级环境 ** Red-Hat 6.8版本 ** 二、 OpenSSH升级准备 ** 2.1 升级思路考虑到OpenSSH升级采用远程连接方式升级,为保证升级正常,将采telnet连接来进行升级操作,依次进行OpenSSH原配置文件备份、旧版本OpenSSH删除、安装新版本OpenSSH。 2.2 下载所需的安装包, 此次安装需要安装包如下telnet服务所需的安装包: teln...
openssh-6.6p1-1.x86_64.rpm
01-16
这个是编译完成的,RHEL平台测试能用,如果不能用,可以试我发的另一个源码版本,是openssl6.7.
openSSH升级解决安全漏洞问题
破晓的专栏
03-04 1万+
重装openSSH更高级的版本解决安全漏洞问题,会导致我们常用的链接会断掉,有两种解决方案,一种是多开几个ssh的链接,因为openSSH断开后就不会新建链接[没测试过];另一个方案就是安装telnet替换,因为telnet的安全性问题,升级SSH成功后,最好将telnet服务关掉。...
一键解决80%的Linux系统高危漏洞软件-之openssh9.7最新(粉丝送福利)
最新发布
huiyangxu blog
05-02 1256
下面是我这一台Centos6.5的老版本操作系统,没有更新openssh之前的漏洞扫描信息,可以看得出来高风险全是openssh(本漏扫使用最新的规则库2024-04-04发布的)Linux系统默认的OPENSSH版本比较低,等保等安全检查时,一定会被扫出来高风险漏洞,而高风险是等保三的否决项,一定要解决。网上大部分的解决的办法就是源码编译安装openssh,编译的时间较长,也比较麻烦,小白的话很容易做错导致系统登录不进去了。更新openssh之后再漏扫检查,可以看出来,己经没有高风险漏洞了!
linux怎吗卸载openssh,卸载并重装openssh(解决ssh -1问题)
weixin_30670859的博客
05-05 6096
在集群测试过程中,有一个节点的openssh装的有问题,需要ssh -1 才能登录,导致多节点的mpi无法使用。修改配置文件什么的也没有用(也许是我改的不对。。)最后决定直接重装openssh1. 卸载先查看openssh的相关包[root@node51 ~]# rpm -qa openssh*openssh-server-6.6.1p1-11.el7.x86_64openssh-6.6.1p1-...
openSSH离线升级(6.6->7.9),解决Linux安全漏洞(CVE-2018-15473)
qq_40997700的博客
08-25 1278
链接:https://pan.baidu.com/s/1HjAbNBcRdBOL1hUL-dgoyA 提取码:d0q6 linux ssh6.6离线升级为7.4 1.随便找个文件夹把sshUpdate文件夹放进去,比如放到opt文件夹下 2.rpm -ivh .rpm --force --nodeps(cd到sshUpdate文件夹) 3.把libcrypto.so.1.0.2k 复制到usr/lib64中 4.删除软连接rm -rf /lib64/libcrypto.so.10 5.重新设置ln -s /
升级OpenSSH修复高危漏洞
CourageHe的博客
10-28 3734
升级OpenSSH修复高危漏洞 OpenSSH 是一款用于远程登录的连接工具,它使用 SSH 协议。 它会加密客户端与服务器之间的所有流量,从而遏止窃听、连接劫持和其他攻击。 最近服务器安全扫描产生的五六个与openssh有关的漏洞漏洞描述基本都是服务器所使用的openssh版本过低,存在严重的高危漏洞和中危漏洞。因此,处理方法是升级openssh至最新版本。该漏洞比较常见,处理过程中也出现了几个问题,因此记录此文。 1、查看当前版本信息 [root@CourageHe ~]# ssh -V Ope
open-ssh用户枚举漏洞
02-01
open-ssh用户枚举漏洞验证
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)
02-22
OpenSSH 9.6p1是该软件的一个重要更新,主要修复了多个安全漏洞。其中,包括对中间人攻击的防御增强,防止了通过密钥交换阶段的漏洞进行密码嗅探。此外,它还解决了可能导致拒绝服务(DoS)攻击的问题,比如内存泄漏...
OpenEuler20.03升级SSH 9.7p1所用到的包
04-29
2. **SSH 9.7p1的特点**:新版本可能包括性能优化、安全漏洞修复、新特性支持和更好的兼容性。例如,它可能增强了密码和密钥验证的安全性,提高了多线程性能,以及对最新加密算法的支持。 3. **升级前准备**:在...
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站的安全性。以下是 Nginx 漏洞修复文档的相关知识点: 1. X-Content-Type-Options 响应头缺失 X-...
ubuntu open ssh 离线安装包
03-22
1.将4个文件放在一个单独的文件夹中,建议新建一个 2.命令行进入该文件夹 cd [你的新建文件夹] 3.执行 sudo dpkg -i openssh-client_7.2p2-4_amd64.deb sudo dpkg -i openssh-sftp-server_7.2p2-4_amd64.deb ...
OpenSSH算法协议漏洞修复
热门推荐
zhongxj183的博客
05-23 3万+
OpenSSH算法协议漏洞修复 由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。 如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。 SSH Weak Key Exchange Algorithms Enabled(启用SSH弱密钥交换算法) 查看kexalgorithms 查看客户端支持的kexalgorithms ssh -Q kex 查看服务端支持的kexalgorit
Centos7下 OpenSSH6.6.1p1 升级至OpenSSH_8.4p1
qweasdzxc01233210的博客
06-28 516
由于openssh爆出一个特殊漏洞,涉及到8.3p1及以下版本,本文章描写从OpenSSH_6.6.1p1升级至OpenSSH_8.4p1。
Linux服务器,ssh服务突然失效的解决方法
guodongtanghe的专栏
07-05 6992
公司某台服务器不知为何无法ssh连接上,进入现场查看: 1.执行netstat -atnlp|grep ssh,没有找到ssh端口 2.执行ps aux|grep ssh,没找到相关进程 3.执行service sshd start,显示绿色的OK,但用ps和netstat看不到ssh任何信息,echo $?结果为0 4.执行service sshd status,显示:openssh-daemon is stopped 4.执行service sshd stop,无报错信息,echo $?结果.
putty访问openssh 6.6.1访问拒绝
求索
01-04 2273
centos的openssh 5.3升级到6.6.1后,putty连接上去输入用户名和密码后提示“Access denied”. 解决方法: /etc/ssh/sshd_config "UsePAM yes" 改为 “UsePAM no” 重启sshd服务即可
【原创】centos7.1升级openssh6.6p1至7.6p1版本
weixin_30270889的博客
01-10 367
注:此文章属原创,载请注明出处,谢谢。 1. 环境信息: (vm, centos 7.1 x64)# rpm -qa | grep opensshopenssh-server-6.6.1p1-11.el7.x86_64openssh-6.6.1p1-11.el7.x86_64openssh-clients-6.6.1p1-11.el7.x86_64# rpm -qa | grep ope...
一篇关于OpenAi基金的介绍
02-20
OpenAI基金是由业界领先的技术领导者组成的非营利性机构,旨在推进人工智能的发展,以此来改善人类的生活。OpenAI的目标是建立开放、可靠的智能机器,能够推动人类的发展,改善生活质量和解决全球性问题。OpenAI通过支持研究和发展人工智能技术,培训机器学习算法,并开发开放的人工智能系统,以实现这一目标。OpenAI也在开发深度学习技术,以推动人工智能和自动化技术在不同领域的应用,如自然语言处理、计算机视觉、人工智能游戏等。OpenAi基金的目标是构建一个健康的人工智能生态系统,促进人工智能技术的发展和应用,最终改善人类生活。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值