OpenSSH 漏洞补丁更新笔记

已于 2024-06-13 16:49:18 修改
阅读量935 收藏 19
点赞数 25
分类专栏: 运维工作笔记 文章标签: 笔记
于 2024-04-30 11:34:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43258559/article/details/138339232
版权

OpenSSH 漏洞补丁更新笔记

相关背景

客户通过第三方扫漏工具发现服务器centos8和Ubuntu22.04有OpenSSH 相关高危漏洞
扫出以下漏洞:

OpenSSH 输入验证错误漏洞(CVE-2019-16905)
OpenSSH 操作系统命令注入漏洞(CVE-2020-15778)
OpenSSH 安全漏洞(CVE-2021-41617)
OpenSSH 代码问题漏洞(CVE-2023-38408)
OpenSSH 信息泄露漏洞(CVE-2020-14145)
OpenSSH 授权问题漏洞(CVE-2021-36368)

加固建议

若您不需要使用该应用或服务,请关闭该应用或服务即可。
目前厂商已经发布了升级补丁以修复这个安全问题,截止20231017日,建议升级到到当前最新的版本9.5,或后续更高版本。
Linux系统请在以下页面进行下载:
http://www.openssh.com/portable.html

其他版本系统请到厂商主页下载最新版本:
http://www.openssh.com/

OpenSSH 8.8 以后版本弃用RSA 以及影响

https://www.openssh.com/txt/release-8.8
OpenSSH 弃用 RSA 签名主要是因为 RSA 签名算法的安全性在现代密码学标准中已经开始受到一些质疑。
OpenSSH 8.8 版本开始建议用户使用 ECDSA 或 Ed25519 签名算法,而不是 RSA。这样做可以提高系统的安全性,并且通常不会影响到用户的使用。
OpenSSH 8.8 版本中弃用 RSA 签名对安全性的影响是很小的,因为 RSA 签名仍然被广泛支持和使用,而且通常不会在短期内完全淘汰。
可能需要更新配置:如果您的 OpenSSH 配置中明确指定了使用 RSA 签名算法,您可能需要更新配置以使用推荐的 ECDSA 或 Ed25519 签名算法。您可以编辑 OpenSSH 的配置文件(通常是 /etc/ssh/sshd_config),将 HostKeyAlgorithms 和 PubkeyAcceptedKeyTypes 指定为 ECDSA 和 Ed25519,以确保使用这些更现代的签名算法。
兼容性考虑:尽管 OpenSSH 8.8 弃用了 RSA 签名,但由于 RSA 仍然被广泛使用,因此这个变化不太可能导致大规模的兼容性问题。但是,如果您的系统与使用 RSA 签名的旧客户端或服务端有交互,可能需要进行一些调整和测试,以确保兼容性。

在这里插入图片描述

centos8 更新openssh9.7p1

不适用centos7及以下,会报错

通过rpm包进行安装

请大佬同事对源码包构建成rpm包后进行安装
文件在文章最上面

#上传rpm包至服务器后解压
unzip x86_64.zip
yum install ./openssh-server-9.7p1-1.el8.x86_64.rpm ./openssh-clients-9.7p1-1.el8.x86_64.rpm ./openssh-9.7p1-1.el8.x86_64.rpm
#备份/etc/ssh
cp -a /etc/ssh /etc/ssh.bak

#删除历史ssh_host相关配置,重启后会自动生成
rm -rf /etc/ssh/ssh_host_*

systemctl enable sshd
systemctl restart sshd

更新完成后,在单开个终端测试登录是否正常
远程工具重新登录可能出现以下提示点OK即可
重启服务器进行验证
如是堡垒机连接,因sshd更新,导致无法远程连接,需要删除堡垒机内服务器资源,重新添加可解决该问题

在这里插入图片描述

Ubuntu更新openssh-9.5p1 以及9.7都可

前置条件

从相关网站下载源码包,我下载的openssh-9.5p1.tar.gz
http://www.openssh.com/portable.html
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
在这里插入图片描述

下载的源码包导入服务器后操作

查看openssh版本

dpkg -l | grep openssh

自带源更新,查看是否能更新到9.7

apt upgrade openssh-server openssh-client

下载源码包到服务器

tar -zxvf openssh-9.5p1.tar.gz
cd openssh-9.5p1

安装环境

sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev autoconf automake

预配置,会提示需要pam,不确定不安装pam是否有影响,未测试。

./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-pam --with-ssl-dir=/usr/local

安装pam

apt-get install -y  libpam-pwquality

编译安装

make && make install

修改默认配置,避免无法登录服务器

echo 'PermitRootLogin yes' >>/usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >>/usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >>/usr/local/openssh/etc/sshd_config

备份历史配置文件,并替换

mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config

mv /usr/sbin/sshd /usr/sbin/sshd.bak
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd

mv /usr/bin/ssh /usr/bin/ssh.bak
cp /usr/local/openssh/bin/ssh /usr/bin/ssh

mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen

mv /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub.bak
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub

修改sshd服务

# modify Type=notify to Type=simple
sed -i "s/Type\=notify/Type\=simple/g" /etc/systemd/system/sshd.service

更新完看到sshd 是disabled
故更新完成后对sshd服务重启,并添加开机自启,以及检查

systemctl daemon-reload
systemctl enable sshd
systemctl restart sshd
systemctl list-unit-files --type=service | grep enabled

查看ssh版本是否更新

ssh -V

单开个终端进行远程连接测试,如异常还可进行调整
重启服务器再次登录验证

风车带走过往
关注
  • 25
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SSH 升级手册
02-09
SSH漏扫,扫面出的漏洞,下载相应补丁,进行升级
OpenSSH安全整改防暴力破解解决方案
02-26
由于受到远程黑客的攻击,无限次尝试密码,暴力破解,增加了我们的设备不安全性,现在根据公司安全整改方面的要求,对客户端的连接进行限制,读取配置文件iprule.ini里面的参数LOGIN_ERR_COUNT,该参数说明在限制时间内允许登录的最大次数,设为1~5
OpenSSL补丁安装(二)
stone_bk的博客
03-23 1525
Redhat系统 Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求,建议将其升级到最新的OpenSSH版本,当前官网最新版本为7.4p1. 本文档将详细介绍OpenSSH升级的完整步骤。需要说明的是,升级过程中虽然涉及zlib、openssl和openssh的卸载,但是并不会导致当前的ssh远程连接会话断开,因此是可以将整个升级过程写成自动化脚本...
openssh补丁升级
weixin_42824805的博客
04-22 1792
openssh补丁升级 标注 tonight(一) 概述 根据漏洞扫描的结果,给内网电脑升级指定版本的openssh。 此次操作在机器的root用户下执行。 步骤 第一步:检查telnet存不存在 rpm -qa|grep "telnet" #不存在则需要安装telnet 如果存在则检查是否开启服务,如果显示connect ,则是开启服务状态 telnet XXX.XX.XX.XX 22 如果没有开启服务,则执行 #开启telnet服务 yum -y install telnet-server --n
linux下源码编译升级ssh版本,ssh打补丁过程
阿阿阿唱的博客
04-08 2206
linux下源码编译升级ssh版本过程记录打补丁之ssh源码编译升级过程安装前软件准备升级步骤结尾及一些坑 记录打补丁之ssh源码编译升级过程 应安全报告要求需要修复操作系统中的ssh协议,原因为ssh版本较低,升级版本后就能解决问题。 OpenSSH 百度解释为: OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送...
LinuxOpenSSH8.3p1补丁包20200908.zip
09-08
补丁包包含了升级所需的3个压缩文件及操作步骤,按照升级文件上的步骤操作就可以把redhat的openssh版本升级到openssh8.3p1。
linux openssh补丁,openssh升级,打补丁
weixin_29605607的博客
05-16 997
以Root用户上传升级包至/home/dou/systemopenssh-7.5p1.tar.gzopenssl-1.0.2l.tar.gzzlib-1.2.11.tar.gzl安装所需包挂载镜像#mount -t iso9660 /home/dou/system/rhel-server-7.2-x86_64-dvd.iso /mnt/system/ -o loopl安装包#yum -y in...
openssh-5.9p1后门打补丁
08-08
openssh-5.9p1后门打补丁
linux openssh补丁,OpenSSH 服务器的 20 个最佳实践–手工升级、打补丁
weixin_36457572的博客
05-16 1290
前几天安全团队发邮件说其中一台服务器的OpenSSH6.2的版本有bug,需要升级到6.7才行。于是我赶紧登录到服务器看,在openSuSE里的yast里提供的最新版本就是6.2,如果要强升级到6.7,只有在 -openssh 的站点下载最新的源码,然后编译、安装。问题是,通过源码编译安装的openssh与openSuSE自带的安装可能存在路径上的差异。openSuSE随机安装的openssh的配...
RedHat Openssh漏洞补丁
03-20
RedHat6版本的 openssh 漏洞rpm 补丁
openssh漏洞修复
07-13
Linux 下openssh版本升级到7.5 P1可以解决多个22端口的漏洞
libssh-0.8.4 ssh补丁
12-09
libssh 补丁包,系统更新加固使用,适用于redhat,ubantu
三种常用的打补丁方法
01-27
三种常用的打补丁方法简介
Redhat6.5升级openSSH-8.7p1修补扫描openSSH漏洞.zip
09-26
Redhat6.5服务器被扫描openssh漏洞,升级opensshopenSSH 8.71版本来修补漏洞。提供详细操作文档和相关源码包。
Centos7_x64-openssh7.4补丁包rpm包,(最新fix CVE-2021-41617).zip
02-18
Centos7 openssh7.4补丁修复升级方法: 1.上传并解压:Centos7-openssh补丁包(最新fix CVE-2021-41617 #2008884).zip 2.到服务器对应的解压目录 执行命令安装 : rpm -Fvh openssh-* 3.安装完成后执行命令查看修复...
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)
最新发布
02-22
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)
openssh漏洞修复,openssh升级脚本一键升级8.9
06-23
系统安全,linux,漏洞扫描,openssh漏洞修复,openssh升级脚本一键升级8.9版本
怎么处理centos7 openssh漏洞
06-01
CentOS 7中的OpenSSH漏洞主要是指OpenSSH 7.4版本中存在的漏洞,可以通过以下步骤进行修复: 1. 升级OpenSSH版本 可以使用以下命令升级OpenSSH版本: ``` sudo yum update openssh ``` 此命令将自动下载并安装最新版本的OpenSSH。 2. 禁用UsePrivilegeSeparation 如果无法升级OpenSSH版本,可以通过修改sshd_config文件禁用UsePrivilegeSeparation来解决漏洞问题。具体步骤如下: - 打开sshd_config文件:`sudo vi /etc/ssh/sshd_config` - 找到UsePrivilegeSeparation行,并将其改为UsePrivilegeSeparation no - 保存并关闭文件 - 重启sshd服务:`sudo systemctl restart sshd` 以上就是解决CentOS 7中OpenSSH漏洞的两种方法。建议使用第一种方法升级OpenSSH版本,以提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值