Linux环境下OpenSSH升级到 OpenSSH_9.8p1(内置保姆级教程并包含openssl升级过程)

最新推荐文章于 2024-09-11 07:02:41 发布
最新推荐文章于 2024-09-11 07:02:41 发布
阅读量3.1k 收藏 27
点赞数 22
分类专栏: 等保 linux基础 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50902636/article/details/141183849
版权

文章目录

前言

2024年7月1日接到安全部门同事邮件通知,目前生产环境及测试环境服务器Openssh存在远程代码执行漏洞(CVE-2024-6387),漏洞等级高,且攻击者可以成功利用该漏洞获得远程root shell最高权限从而执行任意代码及命令,主要受影响版本为8.5p1<=Openssh<9.8p1,安全版本为openssh>=9.8p1。官方给出的修改建议是升级openssh版本至9.8p1,安全部门同事及项目侧领导邮件确认升级至9.8p1版本并对服务器添加hosts.allow、hosts.deny文件,仅允许通过堡垒机连接服务器。因此本文章主要以升级Openssh漏洞为主,对其操作进行记录,测试环境于生产环境的操作系统版本为centos7.8,x86_64架构,目前已均获得验证,升级openssh、openssl版本后服务器操作、相关业务等在一个多月内均未受到影响。

提示:以下是本篇文章正文内容,下面案例可供参考

为什么升级openssh9.8时需要升级openssl?因为在升级openssh过程中报了一个错误,提示需要openssl版本至1.1.1,因此才有了下方升级openssl的操作。如果没有报该错误,则可不升级openssl,具体看下方演示

一、下载openssh、openssl二进制包

1、下载openssh源码包
[root@python1 ~]# wget  https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
--2024-08-14 11:02:15--  https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
Resolving cdn.openbsd.org (cdn.openbsd.org)... 146.75.115.52, 2a04:4e42:15::820
Connecting to cdn.openbsd.org (cdn.openbsd.org)|146.75.115.52|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1910393 (1.8M) [application/octet-stream]
Saving to: ‘openssh-9.8p1.tar.gz’

38% [=========================================>               729,088     49.9KB/s  eta 22s

2、下载openssl源码包
[root@python1 ~]# wget https://github.com/openssl/openssl/archive/refs/tags/OpenSSL_1_1_1s.tar.gz

二、升级步骤

需要升级的服务器尽可能通外网,因为涉及到zlib-devel、pam、gcc等包的安装,如果是纯内外环境,则需要提前下载好包并上传到内网环境在做操作。

1.系统开启telnet,防止意外导致shh无法连接

在需要升级的服务器上安装

[root@python1 ~]# yum install -y telnet-server
[root@python1 ~]# yum install -y xinetd
[root@python1 ~]# systemctl start telnet.socket && systemctl start xinetd.service

#因为默认情况下系统是不允许root用户telnet远程登录的。如果要使用root用户直接登录,需设置如下内容
[root@python1 ~]# echo  'pts/0'  >> /etc/securetty 
[root@python1 ~]# echo  'pts/1'  >> /etc/securetty

[root@python2 ~]# telnet 需要升级ssh的服务器ip
如下图所示

在这里插入图片描述
在这里插入图片描述

2.确认升级前openssh的版本

[root@python1 ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

在这里插入图片描述

3.升级openssh

3.1.备份旧ssh配置文件及目录

[root@python1 ~]# mv /etc/ssh/ /home/ssh-bak

3.2.备份旧ssh相关的二进制程序文件

[root@python1 ~]# mv /usr/bin/ssh /usr/bin/ssh.bak

[root@python1 ~]# mv /usr/sbin/sshd /usr/sbin/sshd.bak

[root@python1 ~]# mv /etc/pam.d/sshd  /etc/pam.d/sshd.old

3.3.安装gcc,并解压9.8p1的安装包

#如果服务器已安装过gcc,则忽略此步骤

[root@python1 ~]# yum -y install gcc

解压9.8p1 tar包

[root@python1 ~]# tar  xf openssh-9.8p1.tar.gz -C /data/updateSsh/

3.4.执行openssh编译命令

[root@python1 openssh-9.8p1]# cd /data/updateSsh/openssh-9.8p1 && ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords

编译过程示例
报错示例

3.5.openssh编译报错示例

如上3.4中报错示例图所示,编译安装openssh—9.8p1版本需要openssl版本到达1.1.1l,但此时我们的openssl版本是1.0.2k,如下图所示,因此需要先升级openssl

在这里插入图片描述

4.升级openssl

如果遇到上述3.4和3.5的报错,则先执行该步骤,升级openssl

4.1.检查并备份旧openssl相关文件

[root@python1 ~]#  whereis openssl
openssl: /usr/bin/openssl /usr/lib64/openssl /usr/include/openssl /usr/local/openssl /usr/share/man/man1/openssl.1ssl.gz

[root@python1 openssh-9.8p1]# mv /usr/bin/openssl  /usr/bin/openssl.old
[root@python1 openssh-9.8p1]# mv /usr/lib64/openssl /usr/lib64/openssl.old
[root@python1 openssh-9.8p1]# mv /usr/include/openssl  /usr/include/openssl.old
[root@python1 openssh-9.8p1]# mv /usr/local/openssl  /usr/local/openssl.old

4.2.解压安装包、执行编译安装命令

[root@python1 updateSsh]#
[root@python1 openssl-1.1.1s]# ./config --prefix=/usr --shared && make && make install

openssl编译过程
在这里插入图片描述

4.3.创建软链接

注意,如果有这两个文件就执行,如果没有报如下failed,忽略即可不影响

[root@python1 openssl-1.1.1s]# ln -s /usr/lib64/libcrypto.so.1.0.0  /usr/lib64/libcrypto.so.10
ln: failed to create symbolic link ‘ /usr/lib64/libcrypto.so.10’: No such file or directory
[root@python1 openssl-1.1.1s]# ln -s /usr/lib64/libssl.so.1.0.0  /usr/lib64/libssl.so.10
ln: failed to create symbolic link ‘ /usr/lib64/libssl.so.10’: No such file or directory

4.4.验证openssl版本

在这里插入图片描述
至此,openssl升级完毕,接着升级openssh

5.openssh续前缘升级操作

5.1 执行openssh编译

因为在第三步升级openssh过程报错openssl版本低问题,因此在步骤四进行了升级openssl操作,升级完成后,接着重新升级openssh

[root@python1 openssh-9.8p1]# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
升级完成截图如下所示

注意事项:

如果再次执行上述编译安装命令,报如下错误,则需要先执行以下安装命令
configure: error: PAM headers not found

[root@python1 openssh-9.8p1]# yum -y install pam-devel.x86_64

在这里插入图片描述
安装完pam-devel依赖后,继续执行上述编译安装命令

[root@python1 openssh-9.8p1]# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords

当出现以下截图所示,则说明openssh编译完成,接着执行make和make install命令
openssh编译完成示例图

5.2.执行openssh安装命令

此步骤必须在5.1步骤中编译完成的基础上执行

[root@python1 openssh-9.8p1]#  make && make install
执行完成后如下图所示

openssh安装完成示例图

5.3.复制sshd启动脚本,并调整配置文件

[root@python1 openssh-9.8p1]# cp contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
[root@python1 openssh-9.8p1]# cp contrib/redhat/sshd.init /etc/init.d/sshd
[root@python1 openssh-9.8p1]# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config  #
[root@python1 openssh-9.8p1]# echo "PermitRootLogin yes" >> /etc/ssh/sshd_config #允许root用户登录
[root@python1 openssh-9.8p1]# vim /etc/ssh/sshd_config
								PasswordAuthentication yes  #打开密码认证的注释

5.4.启动sshd,并配置开机自启动操作

[root@python1 openssh-9.8p1]# systemctl enable sshd
[root@python1 openssh-9.8p1]# systemctl restart sshd

5.5.验证openssh、openssl版本,并验证服务器登录、scp等操作是否正常

[root@python1 openssh-9.8p1]# ssh -V
OpenSSH_9.8p1, OpenSSL 1.1.1s  1 Nov 2022

在这里插入图片描述
验证scp命令是否可用
在这里插入图片描述
验证服务器能是否正常登录
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
至此,服务器openssh升级至9.8版本全部完成

6.注意事项(报错补充)

6.1.执行openssh编译命令可能遇到的报错及解决方法

在这里插入图片描述

如果遇到以上图中的报错,则使用该解决方法。执行完该步骤后,再次执行openssh编译命令即可
[root@python1 openssh-9.8p1]# yum install -y zlib-devel

在这里插入图片描述

如果遇到以上图中的报错,则使用该解决方法。执行完该步骤后,再次执行openssh编译命令即可
[root@python1 openssh-9.8p1]# yum -y install openssl-devel

在这里插入图片描述

如果遇到以上图中的报错,则使用该解决方法。执行完该步骤后,再次执行openssh编译命令即可
[root@python1 openssh-9.8p1]# yum -y install pam-devel.x86_64

6.2.openssh9.8p1安装完成并启动后,如果服务器无法连接问题排查处理

[root@python1 openssh-9.8p1]#  systemctl stop firewalld.service
[root@python1 openssh-9.8p1]#  systemctl disable firewalld.service
[root@python1 openssh-9.8p1]#  vim /etc/selinux/config
设置为 SELINUX=disabled

总结

至此,openssh9.8p1版本升级完成,并且在测试环境升级完成后观察了一天并没有不可控因素产生,目前已升级到了生产环境,一切平稳允许,漏洞也已得到了解决。因此整理出本章博客内容,希望对大家有用

迷茫运维路
关注
专栏目录
OpenSSH-9.8p1-OpenSSL-3.0.14-el7-x86-64
07-02
漏洞名称:OpenSSH存在远程代码执行漏洞(CVE-2024-6387) 漏洞危害:成功利用该漏洞可导致攻击者获得远程root shell最高权限从而执行任意代码。 影响版本:8.5p1 <= OpenSSH < 9.8p1 安全版本:OpenSSH >= 9.8p1
centos7系列 openssh9.8p1 rpm安装包
07-02
压缩包中涉及如下文件: openssh-9.8p1-3.el7.x86_64.rpm openssh-clients-9.8p1-3.el7.x86_64.rpm openssh-server-9.8p1-3.el7.x86_64.rpm openssh-debuginfo-9.8p1-3.el7.x86_64.rpm 更新使用脚本: #卸载当前系统openssh相关内容 rpm -e --nodeps `rpm -qa | grep openssh` #按顺序安装openssh rpm包 rpm -ivh openssh-9.8p1-3.el7.x86_64.rpm rpm -ivh openssh-server-9.8p1-3.el7.x86_64.rpm rpm -ivh openssh-clients-9.8p1-3.el7.x86_64.rpm rpm -ivh openssh-debuginfo-9.8p1-3.el7.x86_64.rpm #检查openssh版本 ssh -V #重启sshd服务 systemctl restart sshd
Linux6.5和7.0以上的版本升级openSSH
12-28
Linux6.5和7.0以上的版本升级openSSH升级,分开两个文档,因为版本不同,命令不一样
升级OpenSSH 9.8p1(CentOS 7)
qq_40507015的博客
07-09 1980
CentOS 7升级OpenSSH 9.8p1操作过程
linux7升级openssl3.0.2 openssh8.9.p1
04-06
linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1 linux7升级openssl3.0.2 openssh8.9.p1
OpenSSH升级9.8p
云原生运维
07-08 2226
若出现以下问题,在对应的文件中找到此项注释掉以此开头的行,再执行systemctl restart sshd。如果执行systemctl restart sshd 不成功,则执行以下命令。3.备份配置文件(注意备份文件路径根据实际情况选择,后面会用到)1.下载安装包 openssh-9.8p1.tar.gz。8.回拷备份配置文件(同3步骤备份配置文件路径相反)9.添加ssh到开机启动项,重启sshd服务。5.执行安装编译文件。拷贝新生成的sshd。
升级 Ubuntu 主机上的 OpenSSH 从 8.9p19.8p1
小小的木头人的博客
07-02 5871
升级 Ubuntu 主机上的 OpenSSH 从 8.9p19.8p1
Linux中进行OpenSSH升级
weixin_43268590的博客
03-13 3868
由于OpenSSH有严重漏洞,因此需要升级OpenSSH到最新版本。 OpenSSLOpenSSH都要更新,OpenSSH依赖于OpenSSL
Linux环境OpenSSH升级OpenSSH_9.5p1内置保姆教程
m0_52985087的博客
12-27 7774
我最近在修复服务器openssh漏洞的时候是服务器生产环境,自己在做的时候,就遇到的重启之后直接断掉ssh的连接,最后发现原因是没配置sshd_config的允许远程用户登录,因此,在此记录一下升级openssh的操作步骤,希望能够帮到初学者。
linuxopenssh升级
08-01
基于linux环境扫描出来的openssh漏洞做升级,这种升级操作很危险,请务必仔细阅读升级的前提条件
redhat7.x 升级opensshopenssh-9.8p1
07-09
openssh9.8P1升级脚本以及离线安装包
centos7的openssh9.8p1rpm包
07-03
centos7的openssh9.8p1rpm包,已经集成所需的所有依赖,直接安装即可。 安装命令(解压进入文件夹后) tar -zxvf centos7_openssh-9.8.tar cd centos7_openssh-9.8 rpm -Uvh --force --nodeps *.rpm ssh-keygen -A ...
Centos 7.9 升级 OpenSSHopenssh-9.4p1openssl-1.1.1k
weixin_43741718的博客
08-30 8084
Centos 7.9 升级 OpenSSHopenssh-9.4p1openssl-1.1.1k
Linux系统升级OpenSSH版本到openssh-9.8p1
tomcat_zhu的博客
07-10 1075
1、升级OpenSSH就要对应的升级OpenSSL,所以要同时要准备openssh-9.8p1.tar.gz和openssl-3.3.1.tar.gz。2、将两个压缩包上传到/home/user目录。
OpenSSH&OpenSSL至最新版本
qq_49081692的博客
03-27 5709
openssh&openssl升级
openssh服务升级到最新版本OpenSSH-9.8p1完全手册---- (只适用于centos6)
zsk_john的技术分享专用博客
07-27 2307
​ 上传openssh-9.8p1.tar.gz 这个源码包到centos6服务器上,并解压,解压后将SPEC文件复制到/root/rpmbuild/SPEC目录下 (源码包和askpass压缩包都在附件1里面) 将openssh-9.8的源码包和x11-ssh-askpass-1.2.4.1.tar.gz放置到 /root/rpmbuild/SOURCES 目录下 x11-ssh-askpass-1.2.4.1.tar.gz的下载地址是Index of /repo/pkgs/openssh/x11-s
linux环境opensslopenssh升级
zhang546030919的博客
07-19 2914
备份libcrypto.so.3文件后,复制安装目录下lib64/libcrypto.so.3到/lib/x86_64-linux-gnu/目录。linux常因opensslopenssh漏洞进行升级。如果因网络原因下载不动,可以直接访问官网,下载最新版本。如因网络原因下载不动,可以直接访问 ,下载最新版本。复制openssl文件到/usr/local/下。本文以ubuntu22.04为例,编译配置openssl安装目录。
LINUX】SHELL贪吃蛇
最新发布
09-11 518
Show()#Mapdo;;;esacdone#Snakefor ((i=0;i++))doecho "*"done#Foodecho "0"dodoneMove();;;;esacArrayMovethenthenthenthenfithen。
openssh9.6p1 怎么升级openssh9.8p1
07-03
升级OpenSSH从9.6p19.8p1通常涉及几个步骤,因为这是不同版本之间的较大更新,可能包括新功能、安全修复和性能改进。以下是通用的升级流程: **注意:** - 在生产环境升级前,请务必备份所有重要数据和配置文件。 - 这是一个简化版的过程,具体步骤可能会因操作系统、包管理器以及当前环境的具体差异而有所不同。 1. **检查依赖和兼容性:**确保你当前的系统支持9.8p1,查看官方文档了解系统和软件栈的要求。 2. **停止服务:**在开始升级之前,先停止正在运行的OpenSSH服务,以防数据丢失或服务中断。 ```bash sudo systemctl stop ssh ``` 3. **更新包管理系统:**根据你的发行版(如Ubuntu、Debian、RHEL等),更新你的包管理器(apt-get, yum, dnf等)。 ```bash sudo apt-get update || sudo yum update ``` 4. **查找并安装新的OpenSSH包:**使用包管理器安装最新版本。 ```bash sudo apt-get install openssh-server || sudo yum install openssh-server ``` 5. **验证安装:**安装后确认新的OpenSSH版本已经安装。 ```bash openssh-client --version ``` 6. **迁移配置文件:**如果旧版本的配置文件没有更改,新版本的OpenSSH可能会自动迁移到正确的位置。检查`/etc/ssh/sshd_config`是否已更新。 7. **重启服务:**确认新版本设置无误后,重启服务。 ```bash sudo systemctl start ssh sudo systemctl enable ssh (若需要开机启动) ``` 8. **测试升级:**连接到服务器并尝试使用SSH服务,确保一切正常。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值