linux源码升级openssh-9.8p1

已于 2024-07-05 09:56:30 修改
阅读量520 收藏 3
点赞数 3
文章标签: 笔记 ssh linux centos
于 2024-07-05 09:13:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44941336/article/details/137273651
版权

一、升级背景

#OpenSSH 出现高危远程代码执行漏洞,影响超过 1400 万台暴露在公网上的服务器。该漏洞是 2006 年的漏洞回归,即在 2006 年被修复但在 2020 年更改内容的时候再次引入,攻击者借助该漏洞可以获得整个系统的控制权。#

受影响的 OpenSSH 版本:

  • 低于 4.4p1 版 (不含此版本):受影响
  • 高于 4.4p1 但低于 8.5p1 (不含此版本):不受影响
  • 8.5p1 及后续版本到 9.8p1 (不含此版本):受影响

该漏洞的潜在影响:

攻击者利用此漏洞实际上可以以最高权限执行任意代码,因此一旦得手就可以获得整个系统和服务器的控制权,无论是安装恶意软件还是窃取数据都是轻轻松松完成。

同时 Qualys 还提到攻击者还可以借助此漏洞获得的权限绕过防火墙、入侵监测系统和日志记录机制等关键安全机制,即可以通过这些方式避免被发现并隐藏其活动。

二、环境介绍

环境介绍

系统版本

centos 7.9

升级openssh版本

openssh-9.8p1

openssh-9.8p1依赖

openssl-1.1.1以上

yum源

阿里云yum源

三、编译安装openssl-1.1.1

openssh9.4及以上版本必须要openssl-1.1.1,低于此版本openssh无法完成编译。

1、编译安装openssl软件

①上传openssl-1.1.1,源码包

源码下载:https://www.openssl.org/source/openssl-1.1.1t.tar.gz

自行上传

②安装源码依赖包

yum -y install gcc gcc-c++ zlib zlib-devel openssl openssl-devel pam-devel perl perl-Test-Simple

③解压源码包

tar -zxvf openssl-1.1.1t.tar.gz

④编译

cd openssl-1.1.1t/

./config --prefix=/usr/local/openssl shared -fPIC

⑤构建软件生成项目依赖关系

make depend

验证程序稳定、正确性

make tests

⑥安装

make && make install

2、配置安装的openssl环境

①查看函数库,检查缺少的函数库

ldd /usr/local/openssl/bin/openssl

添加缺少的函数库

echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

或者配置环境变量

export OPENSSL_ROOT_DIR=/usr/local/openssl

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$OPENSSL_ROOT_DIR/lib

②更新函数库

ldconfig -v

再次检查函数库是否缺少

ldd /usr/local/openssl/bin/openssl

③检查源码安装的版本

] # /root/openssl-1.1.1t/apps/openssl version (此为源码安装包的openssl程序)

OpenSSL 1.1.1t 7 Feb 2023

或者使用编译安装后的openssl路径

/usr/local/openssl/bin/openssl version (安装的openssl路径程序)

④查看旧版本openssl命令路径

which openssl

查看旧版本openssl版本

] # /usr/bin/openssl version

OpenSSL 1.0.2k-fips 26 Jan 2017

⑤将旧版本openssl移除,新版本放入该位置代替

mv /usr/bin/openssl /usr/bin/openssl.old

ln  -s  /usr/local/openssl/bin/openssl  /usr/bin/openssl

⑥为openssl下的加密解密文件libcrypto和加密模块库libssl创建软连接

ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1

ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

⑦配置环境变量

]# export CFLAGS="-I/usr/local/openssl/include"

]# export LDFLAGS="-L/usr/local/openssl/lib"

]# export LD_LIBRARY_PATH="/usr/local/openssl/lib"

至此openssl环境配置完成,解决openssh编译依赖问题。

四、编译安装openssh-9.8p1

源码安装之前,可以使用yum remove将openssh及其依赖软件卸载,卸载后不退出或者不重启服务器当前连接的ssh终端不会中断。

# yum remove openssh (卸载软件需谨慎,不卸载软件也可以区分程序所在路径位置,或者可以使用sshd -V进行版本查看)

yum卸载openssh后,删除/etc/ssh目录,清理掉旧版软件的配置文件

yum  remove  openssh

rm  -rf  /etc/ssh

1、编译安装openssh软件

①将openssh-9.8p1源码包传入服务器

https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

②解压openssh-9.8p1.tar.gz包

tar -zxvf openssh-9.8p1.tar.gz

③进入源码目录进行编译

cd openssh-9.8p1/

./configure --prefix=/usr/local --sysconfdir=/etc/ssh

注释:--prefix=指定程序安装目录 --sysconfdir=指定配置文件目录

如果编译出现报错,说明openssl环境仍有问题。

checking OpenSSL header version... 100020bf (OpenSSL 1.0.2k  26 Jan 2017)
checking for OpenSSL_version... no
checking for OpenSSL_version_num... no
checking OpenSSL library version... configure: error: OpenSSL >= 1.1.1 required (have "100020bf (OpenSSL 1.0.2k-fips  26 Jan 2017)")

执行一下命令,再次编译即可运行成功(在配置openssl已执行)

]# export CFLAGS="-I/usr/local/openssl/include"
]# export LDFLAGS="-L/usr/local/openssl/lib"
]# export LD_LIBRARY_PATH="/usr/local/openssl/lib"

④编译安装文件

编译安装之前,可以选择删除/etc/ssh目录,因为安装时会生成这个目录下的文件,不删除的话,这些配置文件不会被系统覆盖

这个截图中显示,ssh的配置文件已存在,不会被安装。而且旧版的配置文件,79、80、96行的配置不被支持。

编译安装软件

make && make install

⑤安装完成后可以使用sshd -V检查openssh版本

这里我执行sshd  -V,输出版本为OpenSSH_9.8p1。是我已经yum卸载了openssh。卸载openssh后,旧版的sshd命令也被删除了(/usr/sbin/sshd),我源码编译安装的程序sshd路径在(/usr/local/sbin/sshd)

⑥使用源码安装出的sshd程序开启ssh服务

/usr/local/sbin/sshd -f /etc/ssh/sshd_config

2、注释

1、"-f /etc/ssh/sshd_config":指定程序运行加载的配置文件

2、make install 安装完成服务以后,会提示“/usr/local/sbin/sshd -t -f /etc/ssh/sshd_config”运行程序,测试带有“-t”运行的命令无法开启sshd服务。

3、使用sshd程序运行服务时,必须使用完整的绝对路径执行sshd程序,否则无法运行程序;

# /usr/local/sbin/sshd -f /etc/ssh/sshd_config

# sshd -f /etc/ssh/sshd_config 不使用完整路径无法运行程序,翻译为:sshd要求使用绝对路径执行

4、第一次运行服务时,会遇见即使输入root密码正确但是也无法进入系统。 原因为:源码安装生成的配置文件默认禁用了root登录,需要在配置文件/etc/ssh/sshd_config内“PermitRootLogin”后面的参数改为“yes”,重新启动程序后即可正常使用root登录。

3、编译安装过程中的报错

问题一:卸载旧版软件时没有清理配置文件,源码编译安装时会出现权限问题。这里是因为我安装时没有删除/etc/ssh目录,安装前直接删除,可能不会有这个报错。

解决方案:

    chmod 0600 /etc/ssh/ssh_host_rsa_key
    chmod 0600 /etc/ssh/ssh_host_ecdsa_key
    chmod 0600 /etc/ssh/ssh_host_ed25519_key

糟糕情书
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
openssh-9.7p1升级所需的三个源码
06-18
包含资源: zlib-1.3.1.tar.gz openssl-3.2.1.tar.gz openssh-9.7p1.tar.gz
openssh-8.9p1.tar+openssl-1.1.1m.tar
08-02
openssh版本升级和相关升级脚本 openssl 漏洞修复 软件升级 升级脚本 验证 测试验证
linux源码编译制作openssh-9.8p1-rpm包,以修复CVE-2024-6387漏洞
林寒涧溯的博客
07-09 1035
OpenSSH 官方发布安全更新,修复了其 OpenSSH 存在的远程代码执行漏洞,漏洞编号CVE-2024-6387。可导致未经身份验证的远程攻击者执行任意代码等危害,许多linux系统没有发布9.8p1版本的openssh包,因此通过源码编译
升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结
fish332的博客
06-04 2911
近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的openssh和openssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此记录下来,供有需要的人参考。
Rocky Linux 9.4基于官方源码制作openssh 9.8p1二进制rpm包 —— 筑梦之路
筑梦之路
07-02 1382
2024年7月1日,openssh 9.8版本发布,主要修复了CVE-2024-6387安全漏洞。由于centos 7的生命周期在6月30日终止,因此需要逐步替换到Rocky Linux,后续会有更多分享关于Rocky Linux的文章。
centos7|操作系统|低版本的OpenSSH升级到最新版本OpenSSH-9.8.p1
zsk_john的技术分享专用博客
07-07 1516
OpenSSH是什么 OpenSSHSSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。
openssh升级openssh-9.8p1
qq_16613311的博客
07-02 566
openssh升级openssh-9.8p1,CVE-2024-6387漏洞
Linux系统升级OpenSSH版本到openssh-9.8p1
最新发布
tomcat_zhu的博客
07-10 544
1、升级OpenSSH就要对应的升级OpenSSL,所以要同时要准备openssh-9.8p1.tar.gz和openssl-3.3.1.tar.gz。2、将两个压缩包上传到/home/user目录。
Linux服务器升级openssh9.8最新版全过程,及遇到问题处理
qq18346342939的博客
07-03 3938
由于2024年7月1日,openssh发布了最新版9.8,所以服务器需要升级一下,特此做个详细记录:由于下载最新版openssh9.8,需要将openssl也一并进行升级
Linux中进行OpenSSH升级
weixin_43268590的博客
03-13 3299
由于OpenSSH有严重漏洞,因此需要升级OpenSSH到最新版本。 OpenSSL和OpenSSH都要更新,OpenSSH依赖于OpenSSL。
openssh9.8p1(解决CVE-2024-6387安全漏洞)各Linux操作系统的rpm包
forestqq的博客
07-04 2931
近日,奇安信CERT监测到官方修复OpenSSH 远程代码执行洞(CVE-2024-6387),该洞是由于OpenSSH服务器(sshd)中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。目前该漏洞技术细节已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。以下为本人编译的openssh9.8p1包。
OpenSSH-9.8p1源码
07-02
修复了CVE-2024-6387漏洞
openssh-9.8p1-1.el7.x86-64.rpm
07-02
OpenSSH远程代码执行漏洞(CVE-2024-6387) 目前OpenSSH上游已发布版本更新,受影响用户可通过软件源升级到最新版本(OpenSSH 9.8p1)或编译安装最新版本。
centos7系列 openssh9.8p1 rpm安装包
07-02
openssh-9.8p1-3.el7.x86_64.rpm openssh-clients-9.8p1-3.el7.x86_64.rpm openssh-server-9.8p1-3.el7.x86_64.rpm openssh-debuginfo-9.8p1-3.el7.x86_64.rpm 更新使用脚本: #卸载当前系统openssh相关内容 rpm -e ...
openssh-9.8p1-1.el9.src.rpm
07-02
openssh 9.8p1版本src源码rpm包,内含ssh-copy-id命令,显示openssl版本信息 2024年7月2日 制作 , 适用于centos 9 rocky linux 9 redhat 9系列操作系统使用,不分arm架构还是x86架构。修复安全漏洞CVE-2024-4387,...
centos7的openssh9.8p1rpm包
07-03
centos7的openssh9.8p1rpm包,已经集成所需的所有依赖,直接安装即可。 安装命令(解压进入文件夹后) tar -zxvf centos7_openssh-9.8.tar cd centos7_openssh-9.8 rpm -Uvh --force --nodeps *.rpm ssh-keygen -A ...
升级 Ubuntu 主机上的 OpenSSH 从 8.9p19.8p1
小小的木头人的博客
07-02 4245
升级 Ubuntu 主机上的 OpenSSH 从 8.9p19.8p1
centos7升级openssh9.8
suiyupiaomiao的博客
07-02 3135
centos7升级openssh9.8p1
OpenSSH升级9.8p
云原生运维
07-08 935
若出现以下问题,在对应的文件中找到此项注释掉以此开头的行,再执行systemctl restart sshd。如果执行systemctl restart sshd 不成功,则执行以下命令。3.备份配置文件(注意备份文件路径根据实际情况选择,后面会用到)1.下载安装包 openssh-9.8p1.tar.gz。8.回拷备份配置文件(同3步骤备份配置文件路径相反)9.添加ssh到开机启动项,重启sshd服务。5.执行安装编译文件。拷贝新生成的sshd。
openssh-7.4 升级openssh-9.7p1 详细步骤完整版
06-22
OpenSSH 7.4版本升级到9.7p1是一个涉及多个步骤的过程,因为涉及到软件包更新、配置文件更改和可能的安全更新。以下是升级的一般步骤,但请注意,具体的步骤可能会因操作系统、部署环境和已有的定制设置而有所不同。请务必在测试环境中进行并备份重要数据。 1. **检查兼容性和版本差异**: - 首先确认OpenSSH 7.4是否支持直接升级到9.7p1。查看官方文档或版本发布说明,了解是否需要经过中间版本。 2. **停用服务**: - 在升级前,停止当前正在运行的OpenSSH服务以避免数据丢失或中断: ``` sudo systemctl stop ssh ``` 3. **更新依赖库**: - 如果存在,确保所有相关的依赖库(如OpenSSL)也更新到最新版本。例如: ``` sudo apt-get update && sudo apt-get upgrade ``` 或者对于RPM系统: ``` sudo yum update ``` 4. **下载新版本安装包**: - 根据你的操作系统的包管理器,下载新的OpenSSH安装包。例如在Ubuntu/Debian上: ``` sudo apt-get remove openssh-server sudo apt-get update sudo apt-get install openssh-server=9.7p1-* ``` 或在CentOS/RHEL上: ``` sudo yum remove openssh-server sudo yum install openssh-server-9.7p1.* ``` 5. **替换旧版本文件**: - 安装完成后,替换旧的OpenSSH配置和二进制文件: ``` sudo mv /usr/sbin/sshd /usr/sbin/sshd.bak sudo ln -s /usr/libexec/openssh/sftp-server /usr/sbin/sshd ``` 6. **检查新配置**: - 确保新安装的服务使用了正确的配置文件: ``` sudo vi /etc/ssh/sshd_config ``` 7. **检查安全设置**: - 重新检查配置文件中的安全选项,确保符合最新最佳实践。 8. **重启服务**: - 安全检查后,重启OpenSSH服务: ``` sudo systemctl start ssh ``` 9. **验证升级**: - 使用`sshd`命令检查新版本,以及`ssh`连接测试验证升级是否成功。 10. **日志审查**: - 查看系统日志,确认没有错误或警告信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

糟糕情书

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值