linux ssh7.4 升级至9.5（安全扫描漏洞处理）

#漏洞处理#

一、安装telent（防止安装失败无法连接服务器）

1.查看现有版本，下载telnet安装包

$ ssh -V

点击 telnet-0.17-66.el7.x86_64.rpm进行下载

点击xinetd-2.3.15-14.el7.x86_64.rpm进行下载

点击telnet-server-0.17-66.el7.x86_64.rpm进行下载

2.新建目录存放安装包

$ mkdir telnet
$ cd telnet
$ ls
telnet-0.17-66.el7.x86_64.rpm  xinetd-2.3.15-14.el7.x86_64.rpm telnet-server-0.17-66.el7.x86_64.rpm

3.安装telnet和xinetd

3.1 安装

$ cd telnet
$ rpm -Uvh *.rpm --nodeps --force

3.2 启动telnet和xinetd

$ systemctl start telnet.socket
$ systemctl start  xinetd

3.3 追加以下字符到/etc/securetty文件

$ echo 'pts/0' >>/etc/securetty
$ echo 'pts/1' >>/etc/securetty

3.4 重启telnet

$ systemctl restart telnet.socket

3.5 设置开机自启

$ systemctl enable xinetd 
$ systemctl enable telnet.socket

3.6 验证安装是否完成 

$ rpm -qa | grep telnet
telnet-0.17-66.el7.x86_64
telnet-server-0.17-66.el7.x86_64
$ rpm -qa | grep xinetd
xinetd-2.3.15-14.el7.x86_64

3.7 远程登录测试

如果碰到Login incorrect字样

修改文件 /etc/pam.d/remote ，注释auth required pam_securetty.so这一行

二、先升级openssl

1.查看openssl版本，目前是1.0版本系列

$ openssl version

2.下载安装包

下载地址：https://link.zhihu.com/?target=https%3A//www.openssl.org/source/openssl-1.1.1i.tar.gz

 3.安装依赖

yum -y install gcc pam-devel zlib-devel openssl-devel

4.编译安装openssl

tar -xzvf openssl-1.1.1i.tar.gz
cd openssl-1.1.1i
./config
make && make install

5.创建软链接

ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

6.查看版本

$ openssl version

三、升级OpenSSH9.5

1. 准备工作

1.1 先创建一个普通用户 (升级成功后可能出现无法使用root直连，需要先进入普通用户再切换至root)

$ useradd test

1.2 修改root密码（root密码需要大于8位，过于简单升级后可能无法连接）

2. 安装依赖

$ yum install pam-devel -y

3. 下载安装包

点击下载ssh9.5安装包

4. 新建openssh目录，用于存放

$ mkdir openssh
$ cd openssh/

5. 备份配置文件

$ cp /etc/ssh/sshd_config /home/sshd_config.backup
$ cp /etc/pam.d/sshd /home/sshd.backup

6. 删除旧版本的OpenSSH

$ rpm -e --nodeps `rpm -qa | grep openssh`

7. 安装OpenSSH

7.1 解压openssh

$ cd openssh/
$ tar -zxvf openssh-9.5p1.tar.gz
$ cd openssh-9.5p1

7.2 编译配置

CCFLAGS="-I/usr/local/include" LDFLAGS="-L/usr/local/lib64" ./configure

7.3 编译安装

$ make && make install

7.4 调整文件权限

$ chmod 600 /etc/ssh/ssh_host_rsa_key
$ chmod 600 /etc/ssh/ssh_host_ecdsa_key
$ chmod 600 /etc/ssh/ssh_host_ed25519_key

7.5 复制配置文件

$ cd /root/openssh/openssh-9.5p1
$ cp -a contrib/redhat/sshd.init /etc/init.d/sshd
$ chmod u+x /etc/init.d/sshd

7.6 还原之前的配置文件

$ mv /home/sshd.backup /etc/pam.d/sshd
$ mv /home/sshd_config.backup /etc/ssh/sshd_config

7.7 修改/etc/ssh/sshd_config配置文件

$ vim /etc/ssh/sshd_config

7.8 添加自启服务 ssh 到开机启动项

$ chkconfig --add sshd
$ chkconfig sshd on

7.9 重启sshd服务

$ systemctl restart sshd

如果是安装再local下

重启失败说明： 修改 vim /etc/rc.d/init.d/sshd 文件 SSHD修改为SSHD=/usr/local/sbin/sshd

7.10 创建ssh软连接（如果是安装再local下）

ln -s /usr/local/bin/ssh /usr/bin/ssh

7.11 测试是否已成功升级

$ ssh -V

四、卸载Telnet (升级后能使用xshell7 连接后再卸载)

1. 停止telnet相关服务

$ systemctl stop telnet.socket
$ systemctl stop xinetd

2. 卸载telnet

$ rpm -e --nodeps `rpm -qa | grep telnet`
$ rpm -e --nodeps `rpm -qa | grep xinetd`

3.验证是否验证完成

$ rpm -qa | grep telnet
$ rpm -qa | grep xinetd