OpenSSH漏洞 升级OpenSSH

已于 2024-07-11 10:10:47 修改
阅读量1k 收藏 22
点赞数 9
文章标签: ssh
于 2024-07-10 17:40:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42607022/article/details/140329735
版权

检查系统、openssl和openssh的版本信息背景说明:
OpenSSH远程代码执行漏洞CVE-2024-6387允许未授权攻击者以root身份执行任意代码,建议升级至OpenSSH 9.8p1以上版本。

OpenSSH爆高危漏洞(CVE-2024-6387)

要修复漏洞需要将OpenSSH 升级到9.8,

Ubuntu 的软件源已更新:

https://ubuntu.com/security/notices/USN-6859-1

Debian 11 12已更新:
https://security-tracker.debian.org/tracker/CVE-2024-6387

CentOS 没有相应的可直接更新的补丁,需要自己进行升级openssh到9.8(注意版本到最新)

CentOS7的修复 参考 进行升级安装Openssh9.8P,升级过程是使用源码编译,需要谨慎细心,不怕过程繁琐,参考知乎上的升级教程,并补充了telnet部分的细节内容,写一篇文章给大家一个参考和思路。

重点参考
CentOS7升级ssh服务(三):安装openssh9.7p1 - 知乎 (zhihu.com)

知乎上这篇文章介绍的很详尽,感谢作者的辛苦付出,为我们提供了很大的帮助
参考 连接 https://blog.csdn.net/careybobo/article/details/140186096

远程升级OpenSSH的先创建新增账号和安装telnet
安装OpenSSH过程中需要删除OpenSSH和修改配置,因此如果是远程安装补丁的,切记要首选安装telnetServer ,通过telnet 方式连接到远程,升级完成后再卸载调telnet。 另外telnet默认不允许root账号进行远程连接的,需要建一个新的账号(如 sshuser)进行远程(telnet连接后,可以通过su root 方式切换成 root ,进行后续的升级操作)

步骤一、添加一个新临时账号sshuser(升级完后可以删除该账户)

以root用户身份登录系统。运行以下命令创建新用户,例如用户名为sshuser

useradd -m -s /bin/bash sshuser

为新用户设置密码

passwd sshuser

将新用户添加到sudo组中,以便拥有超级用户权限

usermod -aG wheel  sshuser

步骤二、安装telnetServer

注意,如果没有管理员权限请切换至有管理员权限的账户执行或者命令前加上sudo

安装 telnetServer

yum clean all

yum make cache

yum install -y telnet-server

启动服务

systemctl start telnet.socket

开机自启动

systemctl enable telnet.socket

telnet 默认端口是23,如果想改成其他端口请查询资料自行尝试

使用客户端telnet连接centOS服务器(windows10下默认没有安装telnet客户端,可以查找windows10安装telnet客户端资料)

telnet 远程centOS服务器的ip地址,如 telnet XXXXX

连接成功后,会提示您输入登录账户(root默认是不允许telnet远程登录),请使用创建的sshuser登录,然后输入密码即可完成telnet的登录

如果步骤5远程连接失败,可能是防火墙阻止了23端口,请检查防火墙状态,开放防火墙后23端口后再试

查看防火墙状态

systemctl status firewalld

开放23端口(升级完成后可以屏蔽23端口)

firewall-cmd --zone=public --add-port=23/tcp --permanent

重新加载防火墙配置

firewall-cmd --complete-reload

查询防火墙23端口状态

firewall-cmd --query-port=23/tcp

返回yes表示,远程访问端口23可以访问了。

重复#5的步骤,使用telnet进行远程连接centerOS服务器,如果成功可以放心的进行远程升级OpenSSH版本了。(实践证明升级过程中SSH仍然可以使用,可能会在你端口SSH连接时或者重启服务时SSH才会失效)

当面操作CentOS或者是远程桌面进行操作CentOS进行升级的朋友可以忽略前面的步骤进行直接进行升级。

CentOS7升级ssh服务到9.8p1
准备工作:
注意,漏洞补丁要求升级到openssh9.8p1

下载并上传openssh9.8p1和openssl-1.1.1w

下载地址1:openssh-9.8p1的地址

注意 下载的是openssh-9.8p1.tar.gz 源代码

https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

依赖升级的OpenSSL的下载地址2:

OpenSSL有多个版本,centerOS7里默认的安装的OpenSSL的版本是1.02,要安装openssh-9.8p1需要升级到OpenSSL1.1.1 以上,安装OpenSSL1.1.1W

https://github.com/openssl/openssl/releases/tag/OpenSSL_1_1_1w

在这里插入图片描述

查看centos7、ssh以及openssl的版本信息

查看CentOS系统版本信息

cat /etc/redhat-release

查看openssl版本信息

openssl version

查看openssh的版本信息

ssh -V

通过 ssh -V 可以查看OpenSSH 和OpenSSL的版本

2、安装依赖

安装相关的依赖项,如有遗漏再次安装

yum -y install gcc pam-devel zlib-devel openssl-devel net-tools

由于centos资源和网络原因,安装依赖过程中可能会因为资源问题报not found 错误,

也就是换源 详情看上一篇博客 我用的 http://mirrors.ustc.edu.cn/centos/7/os/x86_64/

需要修改 /etc/yum.repos.d/Centos-Base.repo的Centos-Base.repo 资源地址,然后再次执行安装依赖命令

yum -y install gcc pam-devel zlib-devel openssl-devel net-tools

安装openssl-1.1.1w版本

由于openssh9.7p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl。

解压openssl-1.1.1w压缩包

将openssl-1.1.1w解压到/usr/local目录下

tar zxvf openssl-1.1.12.tar.gz -C /usr/local/

查看解压后目标目录情况

ll /usr/local/ | grep openssl

进入openssl-1.1.1w目录下

cd /usr/local/openssl-1.1.1w/

3.2、安装openssl前准备

创建安装目录

mkdir /opt/openssl

安装前查看openssl详细版本信息

openssl version

编译安装openssl-1.1.1w

配置编译和安装过程,“–prefix=” 选项配置安装目录

./config --prefix=/opt/openssl
make
make install

备注:以上三步必须没有出现报错(error),才可以继续下一步,全部三步无报错才能视为安装成功
以上三步必须没有出现报错(error),才可以继续下一步,全部三步无报错才能视为安装成功
遇到错误重新检查错误,直到没有报错再进行后续步骤。

更新lib文件

#检查openssl-1.1.1w所需要的函数库
ldd /opt/openssl/bin/openssl
#添加openssl-1.1.1w的库文件路径到ld.so.conf
echo "/opt/openssl/lib" >> /etc/ld.so.conf
#更新系统函数库库 
ldconfig –v 

#绝对路径查看openssl版本
ldd /opt/openssl/bin/openssl

更新bin文件

#查看旧版本的openssl命令路径
which openssl
#重命名为openssl.old
mv /bin/openssl /bin/openssl.old   #重命名openssl文件
#使用软连接的方式更新openssl命令
ln -s /opt/openssl/bin/openssl /bin/openssl
#openssl命令查看版本呢
openssl version

编译安装openssh9.8p1

解压缩包查看INSTALL文件
使用telnet登录centos7(执行卸载后,仍然可以通过ssh连接进行远程操作)

卸载openssh的rpm包

for i in $(rpm -qa | grep openssh);do rpm -e $i --nodeps;done

解压缩openssh9.8p1包到目标目录

tar zxvf /home/test/openssh9.8p1.tar.gz -C /usr/local

进入openssh9.8p1的源码目录

cd /usr/local/openssh-9.8p1/

安装前查看一下安装文件INSTALL(建议看一下)

more INSTALL

编译安装openssh9.7p1

编译前请先创建需要的目录

mkdir -p /usr/local/openssh

#配置编译和安装过程,"--prefix=" 配置安装目录,"--sysconfdir=" 配置文件路径,"--with-ssl-dir=" openssl的安装路径
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/opt/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening
#构建程序以及所需的指令和依赖关系
make
#安装编译好的openssh9.8p1
make install

备注:以上三步必须没有出现报错(error),才可以继续下一步,全部三步无报错才能视为安装成功
以上三步必须没有出现报错(error),才可以继续下一步,全部三步无报错才能视为安装成功 ;

如有异常错误,请认真核对步骤,重新执行,直到全部成功

复制并修改启动sshd.init脚本

参考知乎的修改sshd.init 方式修改
命令 “cat -n 文件名 |grep 查询关键字” 定位筛选配置文件中 关键字,-n返回定位的行

#从源码目录下复制sshd.init到/etc/init.d/
cp /usr/local/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/
#查看并修改SSHD的新路径,将新的openssh安装路径更新
cat /etc/init.d/sshd.init | grep SSHD
sed -i "s/SSHD=\/usr\/sbin\/sshd/SSHD=\/usr\/local\/openssh\/sbin\/sshd/g" /etc/init.d/sshd.init
cat /etc/init.d/sshd.init | grep SSHD

#查看并修改ssh-keygen的新路径,将新的ssh-keygen安装路径更新
cat -n /etc/init.d/sshd.init | grep ssh-keygen
sed -i "s#/usr/bin/ssh-keygen -A#/usr/local/openssh/bin/ssh-keygen -A#g" /etc/init.d/sshd.init
cat -n /etc/init.d/sshd.init | grep ssh-keygen

方式二、开启两个远程窗口,一个用 cat -n /etc/init.d/sshd.init | grep xxxx关键字 定位到行数及查询的内容,配合 vi /etc/init.d/sshd.init 直接修改需要修改的配置

4.4、修改配置文件(sshd_config)

开启允许X11转发

echo 'X11Forwarding yes' >> /etc/ssh/sshd_config

开启允许密码验证

echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config 
#修改允许root远程,并修改默认端口(特别重要!!!,修改xxxx为实际端口)

sudo echo "Port xxxx" >> /etc/ssh/sshd_config

sudo echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

#用cat -n检查一下配置,如果需要修改安装上面的两条修改命令修改:访问端口和是否运行root登录

启动openssh,并设置开机启动

#复制ssh的相关命令
cp -arp /usr/local/openssh/bin/* /usr/bin/

#启动sshd服务
/etc/init.d/sshd.init start

启动报错

permissions 0640 for ‘/etc/ssh/ssh_host_rsa_key’ are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key “/etc/ssh/ssh_host_rsa_key”: bad permissions
Unable to load host key: /etc/ssh/ssh_host_rsa_key

执行以下命令

chmod 0600 /etc/ssh/ssh_host_rsa_key
chmod 0600 /etc/ssh/ssh_host_ecdsa_key
chmod 0600 /etc/ssh/ssh_host_ed25519_key

查看版本

ssh -V

添加开机启动

chmod +x /etc/rc.d/rc.local
echo "/etc/init.d/sshd.init start" >> /etc/rc.d/rc.local

4.6、测试openssh连接
使用ssh协议连接centos7,检查openssh9.7p1服务

重启系统后ssh协议登录centos7,检查openssh9.7p1自动启动,是否成功登录

5、卸载telnet服务

确认openssh升级成功,连接无异常后卸载telnet服务

yum -y remove telnet telnet-server
weixin_42607022
关注
  • 9
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Openssh漏洞升级修复
weixin_54626591的博客
08-17 1190
Openssh漏洞升级修复
debian9系统openssh漏洞升级教程
qq_14981377的博客
09-20 503
服务器经常漏洞扫描,经常爆出openssh漏洞,解决方案就是升级openssh版本,本人小白一枚,近期收到DEBIAN9服务器openSSH漏洞修复的任务,在此记录分享,DEBIAN系统雷同提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了debian9系统的openssh升级openssh升级有失败的风险,一旦失败服务器断链,所以升级之前最好是打开telnet服务大概类似,这里不再细说telnet服务如何打开,网上也有相应教程。
CentOS7 下 修复 OpenSSH爆高危漏洞(CVE-2024-6387) 实践
07-05 3206
OpenSSH远程代码执行漏洞 centOS7 下修复漏洞
Linux(Centos7)OpenSSH漏洞修复,升级最新openssh-9.7p1
dontYouWorry的博客
06-17 2213
Linux(Centos7)OpenSSH漏洞修复,升级最新openssh-9.7p1
CentOS7上优雅的升级OpenSSH,修复安全漏洞【最全教程】
morecccc的博客
12-02 5745
OpenSSH升级OpenSSH7.4升级最新版,修复CVE-2023-38408、CVE-2020-15778、CVE-2021-41617等系统漏洞
升级解决openssh漏洞
qq_39677803的博客
04-30 5041
【代码】升级解决openssh漏洞
Redhat6.5升级openSSH-8.7p1修补扫描openSSH漏洞.zip
09-26
本文将详细讲解如何在Redhat 6.5系统上升级OpenSSH到8.7p1版本以修补已知的漏洞,以及涉及的相关软件如OpenSSL和zlib的重要性。 OpenSSH是用于在Linux和Unix系统上实现安全远程登录的开源软件套件,它包括SSH客户端...
openssh漏洞升级完整版.rar
11-03
本文将详细介绍`openssh`漏洞升级到8.6版本的必要性、步骤以及如何在CentOS系统上通过RPM包进行一键升级。 首先,为什么需要升级`openssh`呢?正如标题所示,低版本的`openssh`可能存在安全漏洞。这些漏洞可能被...
openssh漏洞修复,openssh升级脚本一键升级8.9
06-23
本文将详细讲解如何使用提供的"openssh漏洞修复,openssh升级脚本一键升级8.9"方法来确保系统安全。首先,我们看到压缩包中包含以下文件: 1. `openssl-1.1.1g.tar.gz`:这是OpenSSL的源代码包,OpenSSL是一个开放...
centos升级openssh脚本,一键修复openssh漏洞(openssh8.6p1)
10-19
升级openssh8.6p1,openssl-1.1.1g,zlib-1.2.11 上传到centos目录,解压,进入openssh目录 直接bash update_openssh_8_6.sh 完成升级
Openssh 8.0升级方法和步骤
10-27
本文将详细介绍如何在Linux环境中升级OpenSSH 8.0版本。升级过程涉及多个步骤,包括更新依赖、安装OpenSSL、安装OpenSSH、修改配置以及重启服务。 首先,确保系统中的软件包是最新的,这是任何升级操作的基础。...
升级OpenSSH到8.8p1版本解决漏洞扫描修复高危漏洞问题
XJKSY2003的博客
09-20 1718
或者可以添加一个可以登录的用户,登录并su到root用户(建议采用此方法,保证系统安全)。5、升级前需要开启telnet,防止升级失败,系统无法登录,对应的防火墙需要开启23端口,安装需要telnet相关包(推荐通过系统ISO安装)8、升级需要gcc、make、perl、zlib、zlib-devel、pam、pam-devel依赖包;PS:如果开启了防火墙,需要将23端口(系统默认23为telnet端口)添加到防火墙允许的端口的列表中。编辑/etc/pam.d/login,注释掉下面这行。
漏洞处理】OpenSSH离线升级
qq_27858615的博客
07-28 4067
OpenSSH在服务器没有外网的环境下进行升级
升级openssh漏洞
weixin_30786617的博客
05-16 213
升级opensslopenssh 最近接收到客户的漏洞提醒,opensslopenssh漏洞,解决办法就只有升级升级前环境 ~]# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 ~]# rpm -qa | grep openssl openssl-1.0.1e-15.el6.x86_64 ~]# uname -r 2.6.32...
OpenSSH 安全漏洞修复升级最新版本
weixin_53345642的博客
02-19 1369
OpenSSH升级
OpenEuler 22.03 LTS SP3 CVE-2024-6387 OpenSSH 漏洞修复指南
srebro | 博客
07-03 1331
OpenSSHSSH(Secure Shell)协议的开源实现,它支持在两个主机之间提供安全的加密通信,广泛用于Linux等系统,通常用于安全远程登录、远程文件传输和其它网络服务。2024年7月1日,OpenSSH Server中存在的一个远程代码执行漏洞(CVE-2024-6387,又被称为regreSSHion)细节被公开,该漏洞影响基于glibc的Linux系统上的OpenSSH Server (sshd)。
OpenSSH 安全漏洞(CVE-2023-51385) 升级v9,不可思议
04-18 978
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
[漏洞分析] CVE-2024-6387 OpenSSH核弹核的并不是很弹
Breeze的博客
07-02 2737
漏洞编号: CVE-2024-6387漏洞产品: OpenSSH - sshd影响范围: 8.5p1
openssh漏洞升级
最新发布
07-06
当存在安全漏洞时,OpenSSH项目会及时发布更新来修复这些问题,以保护用户免受攻击。 如果OpenSSH发现了一个漏洞并发布了新版本,通常会有以下几个步骤: 1. **公告发布**:官方会在其官方网站、邮件列表或GitHub...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值