低版本openssh升级到OpenSSH 8.5p1版本的方法

最新推荐文章于 2024-05-21 23:23:05 发布
最新推荐文章于 2024-05-21 23:23:05 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: linux常用命令 文章标签: linux ssh centos
原文链接:https://blog.csdn.net/weixin_43847124/article/details/115420585
版权

openssh 低版本漏扫后漏洞问题修复方法说明:

问题说明:
centos系统,openssh版本过低,有一些中高的漏洞需要通过升级openssh版本才能够进行解决,所以编写该方法进行说明:
该方法主要是适用于离线安装的场景,相关的安装包已经打包好,下面操作不在考虑安装包获取方法的说明:
漏洞说明:
CNCVE-201715906 OpenSSH 7.6之前的版本中的sftp-server.c文件的‘process_open’函数存在安全漏洞,解决方法:升级到OpenSSH 8.5p1。
CNCVE-201815919 OpenSSH 7.8及之前版本,auth-gss2.c文件存在安全漏洞,解决方法 升级到OpenSSH 8.5p1。
CNCVE-201715906 OpenSSH 7.6之前的版本中的sftp-server.c文件的‘process_open’函数存在安全漏洞,解决方法升级到OpenSSH 8.5p1。
相关安装包和依赖包的获取链接:

	https://wws.lanzoui.com/b0260uoyh
	密码:aq66

一、操作方法:
1) 安装telnet-server,避免openssh升级过程中,有异常,无法进行正常使用:

1:rpm -ivh telnet-server-0.17-66.el7.x86_64.rpm
2:useradd test
3:echo test | passwd --stdin test
4:systemctl start telnet.socket
5:systemctl stop firewalld

说明:
telnet不能够允许使用root用户登录,所以需要添加用户,方便后续登录使用,后续如果升级完毕后,可以进行删除
firewalld可以临时进行关闭,就不用在通过firewall-cmd 来临时添加方向策略了,可以升级完毕后,在开启。

2) 安装gcc程序,方便后续编译安装依赖包,已经将gcc的rpm包和所有的依赖包都放在gcc的目录中,所以cd进入到gcc的目录下,执行如下命令:

rpm -ivh *.rpm

1.安装zlib程序依赖,进入到相关目录下执行:

 1:tar -xf zlib-1.2.11.tar.gz
 2:cd zlib-1.2.11
 3./configure --prefix=/usr/local/zlib
 4: make && make install

2.安装perl-5依赖程序:

1:tar -xf perl-5.16.1.tar.gz
2:cd perl-5.16.1
3./Configure -des -D prefix=/usr/local/perl -Dusethreads -Uversiononly
4:make && make install

3.安装openssl 1.1.1k依赖程序:

1:tar -xf openssl-1.1.1k.tar.gz
2:cd openssl-1.1.1k
3./config --prefix=/usr/local/ssl -d shared
4:make && make install
5:echo '/usr/local/ssl/lib' >> /etc/ld.so.conf
6:ldconfig -v

4.升级openssh为8.5p1版本

1:tar -xf openssh-8.5p1.tar.gz
2:cd openssh-8.5p1
3./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl
4:make &&make install

7.修改相关的ssh配置文件,进行配置文件和执行文件的替换的替换:

echo 'PermitRootLogin yes' >> /usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >> /usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >> /usr/local/openssh/etc/sshd_config

mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
mv /usr/sbin/sshd /usr/sbin/sshd.bak
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
mv /usr/bin/ssh /usr/bin/ssh.bak
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
mv /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub.bak
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub
cp /usr/local/openssh/etc/ssh_host_dsa_key.pub /etc/ssh/
cp /usr/local/openssh/etc/ssh_host_dsa_key /etc/ssh/

8.大功告成,重启sshd服务,查看是否替换成功

systemctl restart sshd
ssh -V

9.sshd无法restart或者start失败的方法的解决方法:

mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service.bak
systemctl daemon-reload
cp openssh-8.5p1/contrib/redhat/sshd.init /etc/init.d/sshd
systemctl start sshd
systemctl status sshd
systemctl daemon-reload

10.设置sshd开机启动:

chkconfig --add sshd  
chkconfig --list sshd

11.卸载telnet-server,删除添加的用户名和密码,启动firewalld

rpm -qa |grep telnet
rpm -e telnet-server-0.17-66.el7.x86_64
rpm -qa |grep telnet
userdel test
systemctl start firewalld

12.卸载gcc和之前安装的依赖包

rpm -evh cpp-4.8.5-44.el7.x86_64
rpm -evh gcc-4.8.5-44.el7.x86_64
rpm -evh glibc-devel-2.17-323.el7_9.x86_64
rpm -evh glibc-headers-2.17-323.el7_9.x86_64
rpm -evh kernel-headers-3.10.0-1160.21.1.el7.x86_64
rpm -evh libmpc-1.0.1-3.el7.x86_64
rpm -evh mpfr-3.1.1-4.el7.x86_64

13.升级参考链接:
https://blog.csdn.net/Angel_asp/article/details/109508477
https://blog.csdn.net/qq_34965596/article/details/115287891
https://blog.csdn.net/Angel_asp/article/details/109508477
14.scp 漏洞的威力真的好大(相关链接):
https://www.cnblogs.com/hcrk/p/13495626.html (漏洞复现参考)
https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650243015&idx=1&sn=a4b2ed65471dc122a60145b8c13071d8&scene=21#wechat_redirect(漏洞说明详解)

漏洞说明:
CNCVE-202015778 OpenSSH 8.5p1及之前版本中的scp的scp.c文件存在命令注入漏洞。厂商未给出解决方法,建议是禁用scp,改用rsync
该漏洞,需要知道要登陆主机的用户名和密码(都知道用户名,密码啦,为啥还要利用这个漏洞呢,查询资料说,是因为没有登录权限,不知道怎么构造没有登录权限还能够scp传输东西的这种场景进行测试)
修复方法:
卸载openssh-clients

rpm -qa |grep openssh-clients
yum remove openssh-clients-7.4p1-21.el7.x86_64

测试 scp 是否被禁止:

scp
-bash: /usr/bin/scp: 没有那个文件或目录

————————————————————————————————
版权声明:本文为CSDN博主「井天要开心」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_43847124/article/details/115420585

久醉绕心弦,
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssh5.3p1升级到8.0p1
zhurobert的博客
11-22 775
ssh5.3是过不了等保2.0的,今天说说ssh升级供大家5.3升级到8.0p1,首先下载到本地这个就不说了 我下载的是tar包 yum install gcc pam-devel zlib-devel openssl-devel #安装编译环境 在这里插入图片描述 tar -zxvf openssh-8.0p1.tar.gz cd /openssh-8.0p1 ./configure -...
openssh8.5p1离线升级文件.rar
03-12
openssh8.5p1.tar--[ centos7 ]
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
最新发布
冰恋云的专栏
05-21 2984
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
openssh升级8.5
qq_41191343的博客
05-18 718
就是openssh版本太低了 然后公司漏扫出来了一大堆问题需要升级的最新版本才能解决 我找了好久找到了openssh8,5的包 升级步骤 一、保守起见 先开telnet登录 rpm -qa|grep telnet #用rpm命令查看是否安装了telnet,应该有“telnet”和“telnet-server”两个软件,如果没有显示结果,表示系统中没有安装,则需要安装这两个软件 rpm –ivh telnet-0.17-46.e16.i686.rpm #用rpm命令安装telnet rpm
升级openssh8.5p1
u012173046的专栏
04-09 409
1.将openssh-8.5p1.tar.gz传到服务器 scpopenssh-8.5p1.tar.gz root@xxx.xxx.xxx.xxx: 2.备份配置文件 cp -r /etc/ssh /etc/ssh.bak/ cp -r /etc/pam.d/ /etc/ssh.bak/ 3.解压 tar zxvf openssh-8.5p1.tar.gz 4.安装 rpm -Uvh openssh-*.rpm 5.恢复配置文件 cp -r -a /etc/ssh.bak/ss.
CentOS8 OpenSSH 升级OpenSSH-8.5p1
Smile_Body的博客
03-18 2854
CentOS8 OpenSSH 升级OpenSSH-8.5p1 文章目录1、升级前准备1.1、openssh升级包1.2、 系统版本镜像下载2、升级前操作2.1、 YUM配置2.2、 安装telnet2.2.1、telnet登陆测试2.3、 依赖包安装3、开始升级openssh3.1、 上传已下载的升级包3.2、 卸载旧版本openssh3.3、 解压openssh并安装3.4、 root用户访问4、 系统服务处理5、 参考资料 1、升级前准备 1.1、openssh升级包 从官网站点下载最新版本升级包:
linux openssh升级8.0
XMYX-0
08-01 586
linux openssh升级8.0
openssh-8.5p1版本RPM升级指南.docx安装包就在文档里面
03-12
10. **验证版本**:确认OpenSSH已经成功升级8.5p1版本: ``` ssh -V ``` 遵循上述步骤,可以安全地将CentOS 7系统的OpenSSH升级到`openssh-8.5p1`,并修复`CVE-2020-15778`漏洞,提升系统安全性。在执行过程中...
openssh8.5.p1.tar.gz 快速升级
03-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.5p1.tar.gz、openssl-1.1.1i.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
openssh-8.5p1
03-12
OpenSSH 8.5p1 是一个在2021年3月3日发布的版本,它代表着开源社区对网络安全连接工具的最新努力。OpenSSH,全称为Open Source Secure Shell,是用于在网络之间提供安全通信的软件套件,它提供了加密的网络服务,如...
openssh-8.5p1.tar.gz 升级openssh补丁
04-09
本文将详细介绍如何使用"openssh-8.5p1.tar.gz"这个压缩包来升级OpenSSH到最新版本8.5p1。 首先,我们需要了解压缩包中包含的四个子文件: 1. `openssh-debuginfo-8.5p1-1.el7.x86_64.rpm`:这是OpenSSH的调试信息...
openssh8.4p1升级
10-15
提供openssh升级所需安装包 以及升级步骤文档
openssh8.5-p1-el7.tar.gz
03-05
centos7 openssh8.5rpm升级升级中需要备份/etc/pam.d/sshd,重启服务前恢复原来备份文件
openssh_8.2p1 脚本升级包.rar
06-03
压缩包包含opensshv8.2p1openssl-1.1.1f.tar,升级脚本,使用文档。 1.配置好yum源 2.提前配置好telnet服务,并用telnet登录 3.#setenforce 0 #关闭内核防火墙 4.安装编译环境依赖包 5.上传opensshopenssl,update_openssh.sh 3个文件到/tmp目录下 (一定是/tmp目录,不要放在其他目录,并且openssh/OPENSSL 升级包只有一个版本,不要多个版本都放在/tmp目录下) 6.确认以上操作完成后,给执行权限,执行脚本./update_openssh.sh
openssh升级8.5
qq_33470881的博客
05-24 729
压缩文件: openssh-8.5.el7.zip 脚本文件: openssh8.5update.rhel7.sh 放到/usr/local 目录下 在/usr/local执行脚本 sh openssh8.5update.rhel7.sh 执行完成 Archive: openssh-8.5.el7.zip creating: openssh-8.5.el7/ inflating: openssh-8.5.el7/openssh-8.5p1-1.el7.x86_64.rpm inflat
OpenSSH 8.5p1 离线升级修复(CVE-2020-15778)漏洞
m0_56279061的博客
03-19 3200
OpenSSH 8.5p1 离线升级修复(CVE-2020-15778)漏洞0x000x010x02升级SSH操作步骤0x03 0x00 近日发现 OpenSSH 官网在3月3日发布了 OpenSSH 8.5 版本。作为负责任的资产管理员兼维护者,当然要升级到最新版啦。同时安全部门漏洞检查,也没有扫出频繁出现的两个漏洞。 OpenSSH 输入验证错误漏洞 (CVE-2020-12062) OpenSSH 命令注入漏洞(CVE-2020-15778) 0x01 虽说升级简单,通过对官方源码编译就能搞定SSH
OpenSSH升级8.5版本rpm包制作过程及安装。OpenSSH 命令注入漏洞
看着博客敲代码
03-12 8867
OpenSSH升级8.5版本 3月3日OpenSSH官方发布最新版OpenSSH8.5,此次更新修复了之前版本存在的注入漏洞。用源码编译的方式比较慢 而且需要相关的依赖特别的多,而且公司一般都是内网环境,没有镜像源可用。所以此篇文章主要说的OpenSSH升级8.5版本rpm包制作的过程。 废话不多说,下面开始操作。 一、找一个可联网的测试环境,查看当前环境。我的是CentOS7.5。 [root@localhost ~]# cat /etc/redhat-release CentOS Linux rele
Openssh-8.5p1版本tar包方式升级步骤
hedao0515的专栏
09-25 1023
Openssh-8.5p1版本tar包方式升级步骤
Redhat7.4 升级OpenSSH 8.5p1的步骤
三朝看客
04-01 1371
一、升级说明 1、升级OpenSSH后,原有公钥失效,信任关系需要重新配置; 2、升级过程需要停止sshd服务,会导致ssh和sftp无法使用; 3、升级需要关闭防火墙服务;systemctl stop firewalld.service 4、升级需要关闭selinux服务; 5、升级前需要开启telnet,防止升级失败,系统无法登录,对应的防火墙需要开启23端口,安装需要telnet相关依赖包 6、升级过程中需要刷新lib库:ldconfig -v; 7、升级顺序:顺序是zlib库> openssl
升级Centos7的opensshopenssh-9.6p1版本
04-18
升级CentOS 7上的OpenSSH版本OpenSSH-9.6p1,您可以按照以下步骤进行操作: 1. 首先,确保您的系统已经安装了必要的软件包和工具。使用以下命令更新系统并安装编译工具: ``` sudo yum update sudo yum groupinstall "Development Tools" ``` 2. 下载OpenSSH-9.6p1的源代码包。您可以从OpenSSH官方网站下载最新版本的源代码包,也可以使用以下命令下载: ``` wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-9.6p1.tar.gz ``` 3. 解压源代码包并进入解压后的目录: ``` tar -zxvf openssh-9.6p1.tar.gz cd openssh-9.6p1 ``` 4. 配置编译选项并进行编译: ``` ./configure make ``` 5. 安装新版本OpenSSH。在安装之前,建议备份原始的OpenSSH二进制文件和配置文件: ``` sudo mv /usr/sbin/sshd /usr/sbin/sshd_backup sudo mv /usr/bin/ssh /usr/bin/ssh_backup sudo make install ``` 6. 更新OpenSSH配置文件。您可以将备份的配置文件与新版本的配置文件进行比较,并根据需要进行修改: ``` sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup sudo cp sshd_config /etc/ssh/sshd_config ``` 7. 启动新版本OpenSSH服务: ``` sudo systemctl restart sshd ``` 现在,您的CentOS 7系统上的OpenSSH版本已经升级OpenSSH-9.6p1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值