Linux环境下OpenSSH升级到 OpenSSH_9.8p1(内置保姆级教程并包含openssl升级过程)


前言

2024年7月1日接到安全部门同事邮件通知,目前生产环境及测试环境服务器Openssh存在远程代码执行漏洞(CVE-2024-6387),漏洞等级高,且攻击者可以成功利用该漏洞获得远程root shell最高权限从而执行任意代码及命令,主要受影响版本为8.5p1<=Openssh<9.8p1,安全版本为openssh>=9.8p1。官方给出的修改建议是升级openssh版本至9.8p1,安全部门同事及项目侧领导邮件确认升级至9.8p1版本并对服务器添加hosts.allow、hosts.deny文件,仅允许通过堡垒机连接服务器。因此本文章主要以升级Openssh漏洞为主,对其操作进行记录,测试环境于生产环境的操作系统版本为centos7.8,x86_64架构,目前已均获得验证,升级openssh、openssl版本后服务器操作、相关业务等在一个多月内均未受到影响。


提示:以下是本篇文章正文内容,下面案例可供参考

为什么升级openssh9.8时需要升级openssl?因为在升级openssh过程中报了一个错误,提示需要openssl版本至1.1.1,因此才有了下方升级openssl的操作。如果没有报该错误,则可不升级openssl,具体看下方演示

一、下载openssh、openssl二进制包

1、下载openssh源码包
[root@python1 ~]# wget  https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
--2024-08-14 11:02:15--  https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
Resolving cdn.openbsd.org (cdn.openbsd.org)... 146.75.115.52, 2a04:4e42:15::820
Connecting to cdn.openbsd.org (cdn.openbsd.org)|146.75.115.52|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1910393 (1.8M) [application/octet-stream]
Saving to: ‘openssh-9.8p1.tar.gz’

38% [=========================================>               729,088     49.9KB/s  eta 22s

2、下载openssl源码包
[root@python1 ~]# wget https://github.com/openssl/openssl/archive/refs/tags/OpenSSL_1_1_1s.tar.gz

二、升级步骤

需要升级的服务器尽可能通外网,因为涉及到zlib-devel、pam、gcc等包的安装,如果是纯内外环境,则需要提前下载好包并上传到内网环境在做操作。

1.系统开启telnet,防止意外导致shh无法连接

在需要升级的服务器上安装

[root@python1 ~]# yum install -y telnet-server
[
升级OpenSSH9.6p19.8p1通常涉及几个步骤,因为这是不同版本之间的较大更新,可能包括新功能、安全修复和性能改进。以下是通用的升级流程: **注意:** - 在生产环境升级前,请务必备份所有重要数据和配置文件。 - 这是一个简化版的过程,具体步骤可能会因操作系统、包管理器以及当前环境的具体差异而有所不同。 1. **检查依赖和兼容性:**确保你当前的系统支持9.8p1,查看官方文档了解系统和软件栈的要求。 2. **停止服务:**在开始升级之前,先停止正在运行的OpenSSH服务,以防数据丢失或服务中断。 ```bash sudo systemctl stop ssh ``` 3. **更新包管理系统:**根据你的发行版(如Ubuntu、Debian、RHEL等),更新你的包管理器(apt-get, yum, dnf等)。 ```bash sudo apt-get update || sudo yum update ``` 4. **查找安装新的OpenSSH包:**使用包管理器安装最新版本。 ```bash sudo apt-get install openssh-server || sudo yum install openssh-server ``` 5. **验证安装:**安装后确认新的OpenSSH版本已经安装。 ```bash openssh-client --version ``` 6. **迁移配置文件:**如果旧版本的配置文件没有更改,新版本的OpenSSH可能会自动迁移到正确的位置。检查`/etc/ssh/sshd_config`是否已更新。 7. **重启服务:**确认新版本设置无误后,重启服务。 ```bash sudo systemctl start ssh sudo systemctl enable ssh (若需要开机启动) ``` 8. **测试升级:**连接到服务器尝试使用SSH服务,确保一切正常。
评论 29
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值