OpenSSL补丁安装(二)

最新推荐文章于 2023-03-09 11:54:44 发布
最新推荐文章于 2023-03-09 11:54:44 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stone_bk/article/details/105042542
版权

Redhat系统

Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求,建议将其升级到最新的OpenSSH版本,当前官网最新版本为7.4p1. 本文档将详细介绍OpenSSH升级的完整步骤。需要说明的是,升级过程中虽然涉及zlib、openssl和openssh的卸载,但是并不会导致当前的ssh远程连接会话断开,因此是可以将整个升级过程写成自动化脚本以进行自动批量部署的。

步骤

1、准备工作

1.1、下载相关软件包

    OpenSSH需要依赖ZLIB和OpenSSL,因此需要从官网下载三者的源码包。需要注意的是:OpenSSH最新版7.4p1依赖的OpenSSL版本为1.0.2k,而不是其最新版1.1.0e(使用此版会升级失败),ZLIB可以使用最新版1.2.11。redhat6.7自带的zlib版本为1.2.3,也可不进行升级。 三者源码下载地址:

Zlib-1.2.8.tar.gz

http://dl.pconline.com.cn/download/1017172-1.html

OpenSSH最新版7.4p1

https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.4p1.tar.gz

OpenSSL1.0.2k

https://www.openssl.org/source/old/1.0.2

1.2、查看系统当前软件版本

步骤一 查看zlib版本

终端输入:

rpm -q zlib

步骤二 查看 OpenSSL版本

终端输入:

openssl version

步骤三 查看 ssh版本

终端输入:

ssh -V

步骤四 关闭selinux

终端输入:

vim /etc/sysconfig/selinux

步骤五 修改配置

SELINUX=disabled

步骤六 保存退出

终端输入:

:wq

1.3、配置本地yum源

    因安装相关工具和编译源码需要先安装部分软件包,因此需要先配置好本地yum源(如有远程yum源更好),配置方法如下:

步骤一:将操作系统镜像上传到服务器中,进行挂载

终端输入:

mount -o loop rhel-server-6.7-x86_64-dvd.iso /mnt

此处挂载目录可自行指定

    配置yum源文件

步骤一 进入源配置文件

终端输入:

cd /etc/yum.repos.d

步骤二 删除当前所有yum源文件

终端输入:

rm -rf *      

步骤三 新建文件

终端输入:

vi rhel6.7.repo

向新建的yum源文件中加入如下内容

[Server]

name=RHELServer

baseurl=file:///mnt/Server

enabled=1

gpgcheck=0

[ResilientStorage]

name=RHELResilientStorage

baseurl=file:///mnt/ResilientStorage

enabled=1

gpgcheck=0

[ScalableFileSystem]

name=RHELScalableFileSystem

baseurl=file:///mnt/ScalableFileSystem

enabled=1

gpgcheck=0

[HighAvailability]

name=RHELHighAvailability

baseurl=file:///mnt/HighAvailability

enabled=1

gpgcheck=0

[LoadBalancer]

name=RHELLoadBalancer

baseurl=file:///mnt/LoadBalancer

enabled=1

gpgcheck=0

步骤四 保存退出

终端输入:

:wq

 

步骤五 清除yum缓存,使当前配置生效

终端输入:

yum clean all

步骤六 查看是否配置成功

终端输入:

yum list  

 

1.4、安装telnet服务并启用

    因升级OpenSSH过程中需要卸载现有OpenSSH, 因此为了保持服务器的远程连接可用,需要启用telnet服务作为替代,如升级出现问题,也可通过telnet登录服务器进行回退。

步骤一安装telnet服务

终端输入:

yum -y install telnet-server*

 

步骤二 启用telnet

  先关闭防火墙,否则telnet可能无法连接

步骤三 暂时关闭服务

终端输入:

service iptables stop

步骤四 永久关闭服务

终端输入:

chkconfig iptables off

步骤五 修改配置文件

终端输入:

vi /etc/xinetd.d/telnet

将其中disable字段的yes改为no以启用telnet服务

步骤六 允许root用户通过telnet登录

终端输入:

mv /etc/securetty /etc/securetty.old  

步骤六 启动telnet服务

终端输入:

service xinetd start  

步骤七 telnet服务开机启动

终端输入:

chkconfig xinetd on

步骤八 新开启一个远程终端以telnet登录验证是否成功启用

终端输入:

telnet [ip]                              

1.5、安装编译所需工具包

终端输入:

yum -y install gcc pam-devel zlib-devel

2、正式升级

2.1、升级ZLIB

A、解压zlib_1.2.11源码并编译

步骤一 解压

终端输入:

tar -zxvf zlib-1.2.11.tar.gz

 

步骤二 进入文件夹

终端输入:

cd zlib-1.2.11

 

步骤三 编译

终端输入:

./configure --prefix=/usr

终端输入:

make

    B、卸载当前zlib

注意:此步骤必须在步骤A执行完毕后再执行,否则先卸载zlib后,/lib64/目录下的zlib相关库文件会被删除,步骤A编译zlib会失败。(补救措施:从其他相同系统的服务器上复制/lib64、/usr/lib和/usr/lib64目录下的libcrypto.so.10、libssl.so.10、libz.so.1、libz.so.1.2.3四个文件到相应目录即可。可通过whereis、locate或find命令找到这些文件的位置)

步骤一 卸载zlib包

终端输入:

rpm -e --nodeps zlib

    C、安装之前编译好的zlib

步骤二 在zlib编译目录执行安装命令

终端输入:

make install

    D、共享库注册

zlib安装完成后,会在/usr/lib目录中生产zlib相关库文件,需要将这些共享库文件注册到系统中。

步骤三

终端输入:

echo '/usr/lib' >> /etc/ld.so.conf

步骤四 更新共享库cache

终端输入: ldconfig                    

    或者采用如下方式也可:

终端依次输入:

ln -s  /usr/lib/libz.so.1 libz.so.1.2.11

ln -s  /usr/lib/libz.so libz.so.1.2.11

ln -s  /usr/lib/libz.so.1 /lib/libz.so.1

ldconfig

    可通过yum list命令验证是否更新成功(更新失败yum不可用),另外redhat和centos的5.*版本不支持高于1.2.3的zlib版本。

2.2、升级OpenSSL

    官方升级文档:http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/openssl.html

  1. 备份当前openssl

步骤一 找到文件夹

终端输入:

find / -name openssl

步骤二 找到需要备份的文件

终端输入:

/usr/lib64/openssl

终端输入:

/usr/bin/openssl

终端输入:

/etc/pki/ca-trust/extracted/openssl

步骤三 备份

终端依次输入:

mv  /usr/lib64/openssl /usr/lib64/openssl.old

mv  /usr/bin/openssl  /usr/bin/openssl.old

mv  /etc/pki/ca-trust/extracted/openssl  /etc/pki/ca-trust/extracted/openssl.old

 

  如下两个库文件必须先备份,因系统内部分工具(如yum、wget等)依赖此库,而新版OpenSSL不包含这两个库

终端输入:

cp  /usr/lib64/libcrypto.so.10  /usr/lib64/libcrypto.so.10.old

终端输入:

cp  /usr/lib64/libssl.so.10  /usr/lib64/libssl.so.10.old

  1. 卸载当前openssl

步骤一 查找已安装的文件

终端输入:

rpm -qa | grep openssl

openssl-1.0.1e-42.el6.x86_64

步骤二 卸载 软件

终端输入:

rpm -e --nodeps openssl-1.0.1e-42.el6.x86_64

终端输入:

rpm -qa | grep openssl

或者直接执行此命令:

rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}

    C、解压openssl_1.0.2k源码并编译安装

步骤一 解压压缩包

终端输入:

tar -zxvf openssl-1.0.2k.tar.gz

步骤二 进入文件夹

终端输入:

cd openssl-1.0.2k

步骤三 编译文件

终端输入:

./config --prefix=/usr --openssldir=/etc/ssl --shared zlib  

  必须加上--shared,否则编译时会找不到新安装的openssl的库而报错

步骤四 安装

终端输入:

make

终端输入:

make test   

必须执行这一步结果为pass才能继续,否则即使安装完成,ssh也无法使用

终端输入:

make install

终端输入:

openssl version -a    

查看是否升级成功

 

    D、恢复共享库

    由于OpenSSL_1.0.2k不提供libcrypto.so.10和libssl.so.10这两个库,而yum、wget等工具又依赖此库,因此需要将先前备份的这两个库进行恢复,其他的可视情况考虑是否恢复。

终端输入:

mv  /usr/lib64/libcrypto.so.10.old  /usr/lib64/libcrypto.so.10

终端输入:

mv  /usr/lib64/libssl.so.10.old  /usr/lib64/libssl.so.10

2.3、升级OpenSSH

    官方升级文档:http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html

步骤一、备份当前openssh

终端输入:

mv /etc/ssh /etc/ssh.old

步骤二、卸载当前openssh

终端输入:

rpm -qa | grep openssh

openssh-clients-5.3p1-111.el6.x86_64

openssh-server-5.3p1-111.el6.x86_64

openssh-5.3p1-111.el6.x86_64

openssh-askpass-5.3p1-111.el6.x86_64

终端输入:

rpm -e --nodeps openssh-5.3p1-111.el6.x86_64

终端输入:

rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64

终端输入:

rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64

终端输入:

rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64

终端输入:

rpm -qa | grep openssh

或者直接执行此命令:

rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}

步骤三、openssh安装前环境配置

终端输入:

install  -v -m700 -d /var/lib/sshd

chown  -v root:sys /var/lib/sshd

groupadd -g 50 sshd

useradd  -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd

步骤四、解压openssh_7.4p1源码并编译安装

终端依次输入:

yum install pam-devel -y

 

tar -zxvf openssh-7.4p1.tar.gz

cd openssh-7.4p1

./configure --prefix=/usr  --sysconfdir=/etc/ssh  --with-md5-passwords  --with-pam  --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd

make

make install

步骤五、openssh安装后环境配置

在openssh编译目录执行如下命令

终端依次输入

install -v -m755    contrib/ssh-copy-id /usr/bin

install -v -m644    contrib/ssh-copy-id.1 /usr/share/man/man1

install -v -m755 -d /usr/share/doc/openssh-7.4p1

install -v -m644    INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.4p1

ssh -V      

        验证是否升级成功

步骤六、启用OpenSSH服务

步骤一在openssh编译目录执行如下目录

终端依次输入

echo 'X11Forwarding yes' >> /etc/ssh/sshd_config

echo "PermitRootLogin yes" >> /etc/ssh/sshd_config   #允许root用户通过ssh登录

cp -p contrib/redhat/sshd.init /etc/init.d/sshd

chmod +x /etc/init.d/sshd

chkconfig  --add  sshd

chkconfig  sshd  on

chkconfig  --list  sshd

service sshd restart

注意:如果升级操作一直是在ssh远程会话中进行的,上述sshd服务重启命令可能导致会话断开并无法使用ssh再行登入(即ssh未能成功重启),此时需要通过telnet登入再执行sshd服务重启命令。

 

3、善后工作

新开启远程终端以ssh [ip]登录系统,确认一切正常升级成功后,只需关闭telnet服务以保证系统安全性即可。

步骤一还原配置

终端输入:

mv /etc/securetty.old /etc/securetty

步骤二 停止服务

终端输入:

chkconfig  xinetd off

步骤三 重启服务

终端输入:

service xinetd stop

  如有必要,可重新开启防火墙

步骤一

终端输入:

service iptables start

步骤二

终端输入:

chkconfig iptables on

如需还原之前的ssh配置信息,可直接删除升级后的配置信息,恢复备份。

终端输入:

rm -rf /etc/ssh

终端输入:

mv /etc/ssh.old /etc/ssh

结束

stone_bk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl-1.0.2k
05-18
开源的openssl-1.0.2k源代码,编译方式请搜索参考百度文档
OpenSSL3.0.12
11-12
OpenSSL 3.0.12 也不例外,它可能包含了针对新发现或潜在威胁的安全补丁。这确保了使用此版本的系统能够抵御最新的网络安全攻击。 2. 性能优化:OpenSSL 的新版本通常会带来性能提升,这可能包括更快的加密解密速度...
OpenSSL补丁安装(一)
stone_bk的博客
03-23 5332
一、Centos系统 升级前准备 软件包准备: openssh-7.5p1.tar.gz下载 大家可以到openssh官网下载(https://www.openssh.com/),左列找到For other OS's---->linux---->Download---->http mirrors,里面的地址可以任选一个 附上地址: https://openbsd...
openssl漏洞补丁修复
weixin_33806914的博客
04-11 187
OpenSSL受影响版本的分布根据已经公开的信息,该漏洞影响分布情况如下。1、OpenSSL 1.0.1f (受影响)2、OpenSSL 1.0.2-beta (受影响)3、OpenSSL 1.0.1g (不受影响)4、OpenSSL 1.0.0 branch (不受影响)5、OpenSSL 0.9.8 branch (不受影响)处置建议如下3.1 针对网络管理员,可以做的事...
OpenSSL 针对2个新的高严重性漏洞发布补丁
qzt961003的博客
11-02 364
OpenSSL 项目在其广泛使用的加密库中推出了包含两个高严重性缺陷的修复程序,这两个缺陷可能导致拒绝服务(DoS)和远程代码执行。
OpenSSL发布了2个高危漏洞的补丁程序
w3cschools的博客
03-29 451
OpenSSL的维护者已经发布了针对其软件中的两个高度严重的安全漏洞的修复程序,该漏洞可被利用来进行拒绝服务(DoS)攻击并绕过证书验证。 跟踪为CVE-2021-3449和CVE-2021-3450,这两个漏洞已在周四发布的更新程序(OpenSSL 1.1.1k版)中得到解决。虽然CVE-2021-3449影响所有OpenSSL 1.1.1版本,但CVE-2021-3450影响OpenSSL版本1.1.1h及更高版本。 OpenSSL是一个由加密功能组成的软件库,这些加密功能实现了传输层安全协议,
openssl安装
08-01
**OpenSSL 安装指南** OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时提供了各种密码算法、常用的密钥和证书封装管理功能以及 ...记得保持 OpenSSL 的更新,以获取最新的安全补丁和功能。
openssl已编译,3.0.3
最新发布
12-26
在压缩包文件中,单个文件名“openssl”可能是编译后的进制文件或者安装脚本,使用时需根据具体的系统环境和需求进行操作。通常,这将涉及解压、安装、配置环境变量,以及更新系统路径,以便在需要时调用OpenSSL...
OpenSSL3.0.0静态编译
06-23
- 安装Perl,因为OpenSSL的配置脚本依赖于Perl来处理。 2. **配置编译环境**: - 打开Visual Studio命令提示符,选择与目标平台对应的版本(x86或x64)。 - 设置环境变量,例如,对于x64平台,设置`INCLUDE`、`...
三种常用的打补丁方法
01-27
三种常用的打补丁方法简介
dueros openssl
11-01
1. **安装**:将OpenSSL库文件(lib目录)添加到系统的库搜索路径中,将bin目录添加到PATH环境变量,以便能够执行openssl命令。 2. **配置**:根据需求修改ssl目录下的openssl.cnf,例如设置私钥文件路径、证书链、...
windows 安装openssl
LANGZI7758521的专栏
08-28 350
【win32】编译安装openssl,其中本次安装的版本都用红框框起来了,x64只是编译选项和编译工具有所不同步骤还是差不多的,具体编译参考openssl强行标签:windows、vs2010、win32、openssl、vc++ 1.安装安装perl 手动安装openssl前要安装perl,现在地址 perl.png 安装完好后命令行执行【perl -v】就可以查看版本信息 ...
linux更新ssl脚本,linux升级OpenSSL,Centos的OpenSSL漏洞补丁
weixin_42322347的博客
04-30 145
升级openssl环境至openssl-1.0.2h1、查看源版本openssl version -a2、下载openssl-1.0.2h.tar.gzwget https://www.openssl.org/source/openssl-1.0.2h.tar.gz3、更新zlibyum install -y zlib4、解压安装tar zxf openssl-1.0.2h.tar.gzcd op...
高级运维工程师教你银河麒麟V10SP1高级服务器版本离线RPM方式升级openssl openssh 自动化升级系统补丁实战实例全网唯一
热门推荐
nasen512的博客
03-09 1万+
银河麒麟V10SP1离线RPM安装包自动化升级系统补丁至2023年3月
(收藏贴)Windows 下OpenSSL安装过程及错误解决办法
binliao46的博客
02-25 687
参考以下两篇完成,感谢博主。 https://blog.csdn.net/xuebing1995/article/details/80004638?utm_source=blogxgwz6 https://blog.csdn.net/q357010621/article/details/47206881
openssh升级,打补丁
weixin_30800807的博客
04-18 1923
以Root用户上传升级包至/home/dou/system openssh-7.5p1.tar.gz openssl-1.0.2l.tar.gz zlib-1.2.11.tar.gz l 安装所需包 挂载镜像 #mount -t iso9660 /home/dou/system/rhel-server-7.2-x86_64-dvd.iso /mnt/system/ -...
给系统打补丁升级漏洞,俗称服务升级,自己心得篇
mingqing的博客
12-20 3897
文章目录需要升级的服务,tomcat、nginx、openssh需要准备环境升级案例一 nginx升级查看tomcat版本先停止服务打包现有Tomcat目录下logs和webapps目录备份现有Tomcat目录准备tomcat最新版war包,没有去官网下载上传Tomcat安装包并解压环境变量我这里没有配置,因为上面老版本已经配置啦迁移原项目及日志再进入新版的tomcat下面启动验证查看版本如果有需要改端口可以进行修改升级案例 openssh升级安装telnet配置telnet登录的终端类型,在/etc/s
RedHat 6 升级OpenSSL8.0
victorkr的专栏
06-01 2726
1、挂载ISO文件作为本地YUM源 mount -o loop '/home/rhel-server-6.7-x86_64-dvd.iso' /mnt/cdrom #此处挂载目录可自行指定 配置yum源文件 # cd /etc/yum.repos.d # rm -rf * #删除当前所有yum源文件 # vi rhel-local.repo #向新建的y...
openssl补丁
08-24
要给OpenSSL补丁,您可以按照以下步骤进行操作: 1. 首先,您需要从OpenSSL官网(https://www.openssl.org/source/)下载所需的补丁文件。在左侧的菜单栏中,找到"Old Releases",然后选择对应的版本(例如1.0.2),然后下载相应的补丁文件(例如openssl-1.0.2l.tar.gz)。 2. 在打补丁之前,我们强烈建议您备份当前的OpenSSL版本,以防止意外情况发生。您可以根据官方升级文档(http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/openssl.html)中的指引进行备份操作。 3. 下一步是执行配置命令来准备打补丁。打开终端或命令行界面,进入解压后的OpenSSL源代码目录,并运行以下配置命令: ``` ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib ``` 这个命令将配置OpenSSL以准备进行打补丁的操作,并指定了一些常用的选项,如安装路径和共享库的使用。 4. 配置完成后,您可以按照补丁文件的说明进行打补丁的操作。具体的补丁方法可能因补丁文件的不同而有所不同,请仔细阅读补丁文件中的说明文档,并按照文档中的指引进行操作。 请注意,这只是一个一般的指导,具体的步骤可能会因您使用的操作系统或其他因素而有所不同。在进行任何补丁操作之前,请确保您已经仔细阅读了相关的文档,并按照官方指南或开发者建议进行操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [OpenSSL补丁安装(一)](https://blog.csdn.net/stone_bk/article/details/105042288)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [OpenSSL补丁安装)](https://blog.csdn.net/stone_bk/article/details/105042542)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值