一、常见的openssh漏洞,可能如下
二、使用tar包升级openssh
开始时的版本:
# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
2.1 可能需要关闭防火墙
systemctl stop firewalld.service
setenforce 0
2.2 下载tar包,一般使用国内阿里云的
链接: https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/
如图:
2.3 解压安装
备份配置文件
如果之前你的ssh根据自己的需求做过修改,就需要备份一下
cd /home
#/etc/pam.d/sshd:linux PAM配置 sshd 白(黑)名单
cp /etc/pam.d/sshd /home/sshd
安装
yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel
wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz
tar zxvf openssh-9.3p1.tar.gz
cd openssh-9.3p1
./configure
make && make install
还原配置
rm -f /etc/pam.d/sshd
cp /home/sshd /etc/pam.d/sshd
chmod 600 /etc/ssh/*_key
修改config
vim /etc/ssh/sshd_config
# 设置通过PAM验证
UsePAM yes
# 设置不允许root登录
PermitRootLogin no
重启
systemctl restart sshd
验证结果:
# ssh -V
OpenSSH_9.3p1, OpenSSL 1.0.2k-fips 26 Jan 2017
其他
可能还会有CBC模式信息泄露漏洞
,解决如下:
echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config
systemctl restart sshd