Linux升级openSSH到8.8用以解决openSSH安全漏洞问题

1 背景

升级openssh到8.8用以解决openSSH以下下安全漏洞问题

OpenSSH 安全漏洞(CVE-2020-14145)
OpenSSH 安全漏洞(CVE-2018-15919)
OpenSSH 安全漏洞(CVE-2017-15906)
OpenSSH 安全漏洞(CVE-2018-15473)
 

目录

背景

准备工作

基础编译环境准备

更新包下载

安装telnet以防失败后不能连接

更新

停止并卸载ssh

 安装zlib

安装 openssl 

安装openssh

安装完成后的配置修改

重启并验证版本

---

2 准备工作

2.1 基础编译环境准备

配置本地yum源安装基础编译环境(如果不确认可以先跳过)

[root soft]# yum -y install gcc make perl zlib zlib-devel pam pam-devel

2.2 更新包下载

准备如下安装包并上传到服务器，当前以/opt/soft/为例

 打包下载地址：https://download.csdn.net/download/u010976445/86093456

zlib-1.2.11.tar.gz

openssl-1.1.1g.tar.gz

openssh-8.8p1.tar.gz

2.3 安装telnet以防失败后不能连接

如果有其除ssh以外的办法连上服务器(如直接操作服务器或者是云平台可以直接连接)，可以跳过2.3步骤

安装telnet

[root soft]# yum -y install xinetd telnet-server

启用telnet  root登录

编辑/etc/pam.d/login，注释掉这一行这行

[root soft]# vi /etc/pam.d/login

#auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

添加超级用户登陆设备至/etc/securetty文件

[root soft]# cp /etc/securetty /etc/securetty.bak
[root soft]# echo "pts/0" >> /etc/securetty
[root soft]# echo "pts/1" >> /etc/securetty
[root soft]# echo "pts/2" >> /etc/securetty

开启root用户远程登陆。

编辑/etc/pam.d/remote，注释下列这行：

vi /etc/pam.d/remote
#auth required pam_securetty.so

重启telnet和xinetd服务【telnet服务依赖于xinetd服务】

[root soft]# systemctl restart telnet.socket
[root soft]# systemctl restart xinetd

3 更新

关闭会话，使用telnet方式登录服务器进行后续操作

关闭会话，使用telnet方式登录服务器进行后续操作

关闭会话，使用telnet方式登录服务器进行后续操作

3.1 停止并卸载ssh

停止ssh服务

[root soft]# systemctl stop sshd

 卸载现有openssh

[root soft]# rpm -qa|grep openssh|xargs rpm -e  --nodeps

备份ssh配置文件

[root soft]# mv /etc/ssh /etc/ssh.old

 3.2 安装zlib

解压zlib源码包、进入解压文件夹、编译安装并输出安装结果（输出0表示安装正常），如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)

[root soft]# tar -zxvf zlib-1.2.11.tar.gz 
[root soft]# cd zlib-1.2.11
[root zlib-1.2.11]# ./configure --prefix=/usr/local/zlib
[root zlib-1.2.11]# make && make install && echo $?

 加入并刷新库文件

[root zlib-1.2.11]#  echo '/usr/local/zlib/lib' >>/etc/ld.so.conf
ldconfig -v

3.3 安装 openssl 

解压openssl源码包、进入解压文件夹、编译安装并输出安装结果（输出0表示安装正常），如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)

[root soft]# tar -zxvf openssl-1.1.1g.tar.gz
[root soft]# cd openssl-1.1.1g
[root openssl-1.1.1g]# ./config --prefix=/usr/local/openssl -d shared
[root openssl-1.1.1g]# make && make install && echo $?

完成安装后创建软连接并打印当前版本

[root openssl-1.1.1g]# ln -sf /usr/local/openssl/bin/openssl  /usr/bin/openssl
[root openssl-1.1.1g]# ln -sf /usr/local/openssl/include/openssl /usr/include/openssl
[root openssl-1.1.1g]# echo '/usr/local/openssl/lib' >> /etc/ld.so.conf

[root openssl-1.1.1g]# /sbin/ldconfig -v
[root openssl-1.1.1g]# openssl version
OpenSSL 1.1.1g 21 Apr 2020

3.4 安装openssh

解压openssh源码包、进入解压文件夹、编译安装并输出安装结果（输出0表示安装正常），如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)

[root soft]# tar -xvf openssh-8.8p1.tar.gz
[root soft]# cd openssh-8.8p1
[root openssh-8.8p1]# ./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib
[root openssh-8.8p1]# make && make install && echo $?

3.5 安装完成后的配置修改

修改 /usr/local/openssh/etc/sshd_config 文件：

添加22222 ssh端口：找到#Port 22 在下一行添加 Port  22222 

启用允许root 远程登录：找到 #PermitRootLogin prohibit-password 在下一行添加 PermitRootLogin yes，

启用公钥身份验证：将 #PubkeyAuthentication yes 注释去除，

启用隧道明文密码：将PasswordAuthentication yes注释去除

[root openssh-8.8p1]# sed -i "/^Port 22222/d"  /usr/local/openssh/etc/sshd_config 
[root openssh-8.8p1]# sed -i "/^PermitRootLogin yes/d"  /usr/local/openssh/etc/sshd_config 
[root openssh-8.8p1]# sed -i "/^#Port 22/a\Port 22222"  /usr/local/openssh/etc/sshd_config
[root openssh-8.8p1]# sed -i "/^#PermitRootLogin prohibit-password/a\PermitRootLogin yes"  /usr/local/openssh/etc/sshd_config
[root openssh-8.8p1]# sed -i "/^#PubkeyAuthentication yes/cPubkeyAuthentication yes"  /usr/local/openssh/etc/sshd_config
[root openssh-8.8p1]# sed -i "/^#PasswordAuthentication yes/cPasswordAuthentication yes"  /usr/local/openssh/etc/sshd_config

添加22222 ssh端口：找到#Port 22 在下一行添加 Port  22222 

启用允许root 远程登录：找到 #PermitRootLogin prohibit-password 在下一行添加 PermitRootLogin yes，

启用公钥身份验证：将 #PubkeyAuthentication yes 注释去除，

启用隧道明文密码：将PasswordAuthentication yes注释去除

覆盖配置文件

回到openssht8.4的解压的包中拷贝一些文件到目标位置并注册服务（如果目标目录存在就覆盖）

[root openssh-8.8p1]# cp -f /usr/local/openssh/bin/ssh /usr/bin/ssh 
[root openssh-8.8p1]# cp -f /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
[root openssh-8.8p1]# cp -f /usr/local/openssh/sbin/sshd /usr/sbin/sshd

[root openssh-8.8p1]# ln -s /usr/local/openssh/etc /etc/ssh

[root openssh-8.8p1]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd
[root openssh-8.8p1]# cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam

[root openssh-8.8p1]# chmod +x /etc/init.d/sshd
[root openssh-8.8p1]# chkconfig --add sshd
[root openssh-8.8p1]# systemctl enable sshd

移走原来的systemd管理的sshd文件 否则影响sshd重启

[root openssh-8.8p1]# mv  /usr/lib/systemd/system/sshd.service  /tmp/

设置开机启动

[root openssh-8.8p1]# chkconfig sshd on

4 重启并验证版本

重启服务并打印sshd版本

[root@test-file openssh-8.8p1]# /etc/init.d/sshd restart
[root@test-file openssh-8.8p1]# ssh -V
OpenSSH_8.8p1,OpenSSL 1.1.1g 21 Apr 2020

使用ssh登录验证是否可以登录页