Linux服务器漏洞修复—OpenSSH升级到9.8(CentOS 7.6)

已于 2024-07-22 10:37:45 修改
阅读量2.2k 收藏 19
点赞数 19
文章标签: linux 服务器 centos
于 2024-07-21 14:54:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012001653/article/details/140588191
版权

离线安装包提取地址

链接:百度网盘 请输入提取码 
提取码:uaio

一:查看版本和下载

1.1所需安装包目录

1.2:查看系统openssh包

rpm -qa|grep openssh

1.3:查看版本

ssh  -V

1.4:下载地址

Index of /pub/OpenBSD/OpenSSH/portable/

二:安装telnet

建议安装,如果你升级到一半,VPN突然掉了,或者网络断开,你就连不上xshell了,如果安装了telnet后,就是网络和VPN断开,也可以进行下一步操作

2.1:卸载telnet可不操作

为了避免在生产上安装openSSH失败,安装telnet

检查telnet是否安装

rpm -qa | grep telnet

没有安装,如果安装,请先卸载后重新安装

例如:

关闭telnet服务

systemctl disable xinetd.service
systemctl stop xinetd.service
systemctl disable telnet.socket
systemctl stop telnet.socket

执行卸载

rpm -e --nodeps telnet-0.17-47.el6.x86_64
rpm -e --nodeps telnet-server-0.17-64.el7.x86_64

2.2:上传安装包

统一上传路径 /home/telnet

2.3:安装

注意: 需要先安装xinetd,然后安装telnet客户端,再安装telnet服务端,不然可能会报错

cd  /home/telnet
rpm -ivh xinetd-2.3.14-38.el6.x86_64.rpm
rpm -ivh telnet-0.17-47.el6.x86_64.rpm
rpm -ivh telnet-server-0.17-64.el7.x86_64.rpm

2.4:启动服务

systemctl start telnet.socket
systemctl start xinetd

2.5:设置开机自启

systemctl enable telnet.socket
systemctl enable xinetd.service

2.6:查看telnet服务是否启动

netstat -antupl | grep 23
cat /etc/services | grep -a 'telnet'

2.7:root用户登录测试

开放root用户的权限,编辑以下文件.

vim /etc/pam.d/remote

注释掉这一行

#auth       required     pam_securetty.so

然后关闭centos7防火墙 

停止firewalld、关闭firewalld开机自启

systemctl stop firewalld.service
systemctl disable firewalld.service

三:编译安装gcc

3.1:查看是否安装了gcc

gcc -v

表示需要安装gcc

3.2:强制安装

cd /home/openSSH/gcc/
rpm -ivh *.rpm --nodeps --force

 3.3:查看是否安装成功

gcc -v

四:编译安装(升级openSSL)

4.1:安装devel

  • 查看ssl版本号
openssl version

  • 安装devel文件夹里面必要组件
cd /home/openSSH/devel/
rpm -ivh *.rpm --nodeps --force

4.2:解压安装(openssl-3.3.1)

本人升级过程中,不同服务器遇到情况不一,可能有的系统安装3.3.1会报错,建议安装1.1.1版本

  • 解压
cd /home/openSSH
tar -zxvf openssl-3.3.1.tar.gz -C ./

cd /home/openSSH/openssl-openssl-3.3.1
./config shared && make && make install
  • 检测是否编译正确
echo $?
  • 查看下最后的make install是否有报错,0表示没有问题

  •  备份后做软链接

先进行备份、添加软链接

##根据需要安装的是3.3.1版本
cd /home/openSSH/openssl-openssl-3.3.1
ll /usr/bin/openssl
mv /usr/bin/openssl /usr/bin/openssl_bak

ln -s /usr/local/bin/openssl /usr/bin/openssl
ll /usr/bin/openssl

加载新配置

cd /home/openSSH/openssl-openssl-3.3.1

##如果之前升级过openssl,则下面操作建议用vim打开删除之前添加的配置
echo "/usr/local/lib64" >> /etc/ld.so.conf

/sbin/ldconfig

4.3:解压安装(openssl-1.1.1v)

注意:如果执行./config shared报错提示perl,则建议直接将openssl版本降至最低要求1.1.1

openssl-openssl-3.3.1]# ./config shared
Can't locate Params/Check.pm in @INC (@INC contains: /home/openSSH/openssl-openssl-3.3.1/util/perl /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5 . /home/openSSH/openssl-openssl-3.3.1/external/perl/Text-Template-1.56/lib) at ...

cd /home/openSSH/
tar -zxvf openssl-OpenSSL_1_1_1v.tar.gz -C ./
cd openssl-OpenSSL_1_1_1v/
./config --prefix=/opt/openssl
make
make install

echo $?

添加软链接

ll /usr/bin/openssl
mv /usr/bin/openssl /usr/bin/openssl_bak
ln -s /opt/openssl/bin/openssl /usr/bin/openssl

 如果在建立映射文件过程中出现文件存在,直接删除、覆盖即可

如果之前升级过openssl,则下面操作建议用vim打开删除之前添加的配置 

echo "/opt/openssl/lib" >> /etc/ld.so.conf
ldconfig --verbose

4.4:验证

1:验证

openssl version

五:编译安装openSSH

5.1:解压、编译

cd /home/openSSH/
tar -zxvf openssh-9.8p1.tar.gz -C ./
cd ./openssh-9.8p1/

安装ssl-1.1.1版本的 

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/opt/openssl/include/openssl --with-ssl-dir=/opt/openssl   --with-zlib --with-md5-passwords --with-pam && make && make install

安装ssl-3.3.1版本的(如果编译报错,"--with-ssl-dir"路径参数需要微调)

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/include/openssl --with-ssl-dir=/usr/local/ssl   --with-zlib --with-md5-passwords --with-pam && make && make install

编译过程中可能会出现报错,基本是ssl头文件路径配置问题

修改路径为:
--with-openssl-includes=/opt/openssl/include/openssl

或者添加" --without-openssl-header-check"

./configure --without-openssl-header-check --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/opt/openssl/include/openssl --with-ssl-dir=/opt/openssl   --with-zlib --with-md5-passwords --with-pam && make && make install

 

 查看是否安装成功

echo $?

授予权限(如果不授权,会启动ssh失败)##授予文件可写的权限

chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

授予权限后,再次编译安装

此处需要配置sshd_config,见下文

六:编译安装openSSH和配置

6.1:配置root用户登录

vim /etc/ssh/sshd_config

取消注释#PermitRootLogin yes,给root登录放行

6.2:开机自启,服务启动

下面的文件根据启动需要看是否拷贝,如果启动报sshd:未识别的服务,就需要拷贝下列文件

1:拷贝目录

cd /home/openSSH/openssh-9.8p1/
cp -a contrib/redhat/sshd.init /etc/init.d/sshd
cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
chmod +x /etc/init.d/sshd

把原先的systemd管理的sshd文件删除或者移走或者删除,不移走的话影响我们重启sshd服务(如果没有就算了)

mv /usr/lib/systemd/system/sshd.service /home/

2:开机自启

chkconfig sshd on

3:加入系统服务

chkconfig --add sshd
systemctl enable sshd

七:启动服务测试

7.1:启停服务,查看端口

1:停止ssh服务

/etc/init.d/sshd stop

2:查看端口

netstat -lntp

3:运行 sudo /usr/sbin/sshd -t -f /etc/ssh/sshd_config 检查配置是否正确,如果没有错误提示,就可以正常启动 SSH 服务了

sudo /usr/sbin/sshd -t -f /etc/ssh/sshd_config

提示哪个参数不支持,就把该参数注释掉

4:启动ssh服务

/etc/init.d/sshd start

5:再次查看端口是否开启

netstat -lntp

6:重启ssh服务

/etc/init.d/sshd restart

7.2:查看版本

ssh -V

7.3:恢复防火墙配置,重启系统

开启firewalld、开启firewalld开机自启

systemctl start firewalld.service
systemctl enable firewalld.service

重启系统 

reboot

重启后再连接,验证是否升级成功

罗曼蒂克笑往事
关注
centos升级openssh脚本,一键修复openssh漏洞(openssh8.6p1)
10-19
升级openssh8.6p1,openssl-1.1.1g,zlib-1.2.11 上传到centos目录,解压,进入openssh目录 直接bash update_openssh_8_6.sh 完成升级
OpenSSH从7.4升级9.8的过程 亲测--图文详解
最新发布
冰恋云的专栏
09-20 1223
编译 执行./config --prefix=/usr/local/openssl --shared 生成MakeFile文件。解压 tar xvf openssh-9.8p1.tar.gz。#查看ssh版本是否升级成功,可以查看到已经是9.5版本了。使修改后的/etc/ld.so.conf生效。#将编译安装的新配置文件 拷贝到原路径下。openssh 我下载的是9.8的版本。#路径写入etc/ld.so.conf。9.创建新的openssl软链接。查看openssl版本。#查看sshd服务状态。
CentOS修复OpenSSH漏洞升级openssh 9.7 RPM更新包
天天打码-16年老码农
07-02 1039
在做政府和学校单位网站时,经常需要服务器扫描检测,经常被OpenSSH Server远程代码执行漏洞(CVE-2024-6387)安全风险通告,出了报告需要升级OpenSSH。使用是无法更新到最新的,因为系统里的包管理器里的不是最新的。百度很多网上的方法都手动安装编译,流程很麻烦,而且最终不行。最后找到了一个可行的,一个更新修复OpenSSH漏洞升级openssh 9.7 RPM包包。
OpenSSH升级至最新版本9.8
m0_56923443的博客
07-02 7187
下载链接:https://www.openssh.com/releasenotes.html,遗憾的是目前各操作系统的软件源均不支持openssh更新到最新版本,只能手动更新了。cp -a /home/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd(根据文件实际存储路径选择)OpenSSH < 4.4p1(未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁)8.5p1 <= OpenSSH < 9.8p1。
Linux服务器升级openssh9.8最新版全过程,及遇到问题处理
热门推荐
qq18346342939的博客
07-03 1万+
由于2024年7月1日,openssh发布了最新版9.8,所以服务器需要升级一下,特此做个详细记录:由于下载最新版openssh9.8,需要将openssl也一并进行升级
Linux 服务器升级 openssh9.8 详解!!
云Reece的博客
07-30 2923
2024年7月1日,openssh 发布了最新版 9.8,但是下载最新版openssh9.8,也需要将 openssl 也一并进行升级
Linux系统升级OpenSSH版本到openssh-9.8p1
tomcat_zhu的博客
07-10 1270
1、升级OpenSSH就要对应的升级OpenSSL,所以要同时要准备openssh-9.8p1.tar.gz和openssl-3.3.1.tar.gz。2、将两个压缩包上传到/home/user目录。
Linux环境下OpenSSH升级OpenSSH_9.8p1(内置保姆级教程并包含openssl升级过程)
菜鸟运维升级之路
08-14 6957
2024年7月1日接到安全部门同事邮件通知,目前生产环境及测试环境服务器Openssh存在远程代码执行漏洞(CVE-2024-6387),漏洞等级高,且攻击者可以成功利用该漏洞获得远程root shell最高权限从而执行任意代码及命令,主要受影响版本为8.5p1
Linux运维总结:Centos7.6OpenSSH7.4升级版本至9.8
东城绝神
07-02 1132
Linux运维总结:Centos7.6OpenSSH7.4升级版本至9.8
openssh漏洞修复
07-13
Linuxopenssh版本升级到7.5 P1可以解决多个22端口的漏洞
CentOS 7.5上升级OpenSSH9.8版本
08-23
CentOS 7.5上升级OpenSSH9.8版本是一个涉及多个步骤的过程,需要谨慎操作以确保系统的稳定性和安全性。以下是一个详细的升级步骤指南: 一、升级前准备 备份重要文件: 备份/etc/ssh目录,包含所有SSH配置文件。 备份/usr/bin/openssl(如果计划升级OpenSSL)。 备份/etc/pam.d/sshd(PAM认证配置文件)。 备份/usr/lib/systemd/system(如果系统使用systemd管理sshd服务)。 bash cp -rf /etc/ssh /etc/ssh.bak cp -rf /usr/bin/openssl /usr/bin/openssl.bak cp -rf /etc/pam.d/sshd /etc/pam.d/sshd.bak cp -rf /usr/lib/systemd/system /usr/lib/systemd/system.bak 更换YUM源(可选,但推荐): 更换为阿里、华为云等国内镜像源,以加快下载速度。 安装编译依赖: 安装必要的编译工具和库文件。 bash yum instal
centos7的openssh9.8p1rpm包
07-03
centos7的openssh9.8p1rpm包,已经集成所需的所有依赖,直接安装即可。 安装命令(解压进入文件夹后) tar -zxvf centos7_openssh-9.8.tar cd centos7_openssh-9.8 rpm -Uvh --force --nodeps *.rpm ssh-keygen -A ...
Centos7.2 7.4 7.6 7.8升级openssh9.6方法和详解(脚本一键升级
01-18
rpm -Uvh openssh-*.rpm chmod 0600 /etc/ssh/ssh_host_*_key sed -i "s/#UsePAM no/UsePAM yes/g" /etc/ssh/sshd_config sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_...
openssh9.0p1 for centos7 or rhel7 rpm包,可直接升级,无需源码编译
04-27
openssh又更新了,加上重保期间,为了方便给一堆主机升级,做了个RPM包,方便升级。...openssh-9.0p1 rpm 升级包,适用于RHEL7/CENTOS7。 openssh-9.0p1取消了部份弱算法,所以有些低版本的软件会无法连接
服务器部署中间件及依赖包的脚本,在centos 7.6系统可用
10-11
#!/bin/bash get_char(){ SAVEDSTTY=`stty -g` stty -echo stty cbreak dd if=/dev/tty bs=1 count=1 2> /dev/null stty -raw stty echo stty $SAVEDSTTY ... SCRIPT=$(whiptail --title "CheckList" --menu \ ...
linux centos7.9升级openssh9.8过程
Mr_hwt_123的博客
07-31 5175
漏洞扫描扫描出openssh相关的高危漏洞,处理新发布的CVE-2024-6387关于openssh漏洞,需要升级openssh9.8版本。
升级 Ubuntu 主机上的 OpenSSH 从 8.9p1 到 9.8p1
小小的木头人的博客
07-02 6348
升级 Ubuntu 主机上的 OpenSSH 从 8.9p1 到 9.8p1
centos7openssh升级9.8
07-10
CentOS 7默认使用的OpenSSH版本通常较旧,想要将它升级OpenSSH 9.8,你需要手动进行一些步骤,因为官方已经停止了对CentOS 7的直接支持。以下是大致的升级流程: 1. **备份**:在开始之前,务必先备份当前的SSH配置文件和重要的数据,以防升级过程中出现问题。 2. **安装依赖**:更新系统包列表并安装必要的软件包依赖: ``` sudo yum update -y sudo yum install epel-release -y sudo yum install openssh-clients openssh-server openssh-devel -y ``` 这里安装了`epel-release`以获取额外的软件源,然后安装最新版本的OpenSSH客户端和服务端。 3. **下载新版本**:从OpenSSH官网或者其他可信源下载OpenSSH 9.8的RPM包。例如: ``` wget https://www.openbsd.org/pub/OpenBSD/Latest/OpenSSH/portable/openssh-9.8p1.el7_9.x86_64.rpm ``` 4. **安装新版本**: ``` sudo rpm -Uvh openssh-9.8p1.el7_9.x86_64.rpm ``` 5. **检查安装**:确认新的OpenSSH服务已成功安装,并运行服务启动命令: ``` systemctl status sshd ``` 6. **迁移配置**:虽然不需要手动替换旧的配置文件,但你可以检查新版本的配置文件位置(通常是`/etc/ssh/sshd_config`),确保没有遗漏的设置。 7. **重启服务**: ``` sudo systemctl restart sshd ``` 8. **验证升级**:尝试连接服务器,查看SSH是否正常工作,并检查日志文件确认没有错误。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗曼蒂克笑往事

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值