Centos7,升级OpenSSH(亲测有效适用于小白)

已于 2024-08-01 16:30:38 修改
阅读量2.7k 收藏 23
点赞数 61
文章标签: linux ssh ssl
于 2024-08-01 15:12:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61753702/article/details/140846565
版权

项目场景:

OpenSSH 升级, OpenSSH 更新, OpenSSH 漏洞修复

漏洞信息:OpenSSH 命令注入漏洞(CVE-2023-51385)

以及日常运维升级openssh参考。

注意!!!,如果本机未安装telnet

建议打开多个SSH终端连接使用top避免设备断链,并安装telnet服务器,确保在SSH服务器升级异常时,可以通过telnet服务器远程连接,进行紧急问题修复处理。
在升级前一定要备份原有的配置文件,以防出现意外情况。

如是个人学习升级openssh,建议升级前拍摄快照。

问题描述

升级原设备openssh,有利于设备运行安全。

本文章用于修复OpenSSH命令注入漏洞(CVE-2023-51385)

该漏洞影响 Linux、macOS、BSD 以及其他操作系统上 OpenSSH 客户端和服务器实现的所有用户。由于 OpenSSH 是使用最广泛的 SSH 实现之一,因此影响相当广泛。

如果成功利用,该缺陷可能会被用来绕过身份验证并获得对运行易受攻击的 OpenSSH 版本的系统的未经授权的远程访问。攻击者可以发起进一步的攻击、升级权限、窃取数据等等。

升级前准备:

安装所需软件包,以及用于编译和安装从源代码构建的软件

yum install wget gcc openssl-devel pam-devel rpm-build zlib-devel -y

如出现一下内容为以及将所需软件包安装完成,无需再安装

若yum出现bug,后续会编写文章进行解决。

编译安装openssl:

下载编译openssl
#查询openssl版本信息命令
1.openssl version
#查询后显示本版信息为OpenSSL 1.几的版本后可跳过openssl安装
#两个下载连接都可下载,第二条连接禁用 SSL/TLS 证书验证。避免证书过期拉取不到软件包
2.
wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1t.tar.gz
wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1t.tar.gz --no-check-certificate

下载完成后,将软件包解压到以下目录下

3.tar xf openssl-1.1.1t.tar.gz -C /usr/local
#开始编译安装openssl
4.# 进入openssl目录
cd /usr/local/openssl-1.1.1t
# 编译安装openssl
./config shared --prefix=/usr/local/openssl
make -j 4
make install
为openssl创建软连接,
echo "/usr/local/openssl/lib/" >> /etc/ld.so.conf
# 加载配置文件
ldconfig
# 备份以前的openssl
mv /usr/bin/openssl /usr/bin/openssl.old
# 软连接,如果提示软连接已存在,记得备份软连接,然后在执行下面再次软连接,要不然会出问题,会导致root目录看不了,磁盘看不了,sftp连接不上;
ln -sv /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
#创建完成后使用
openssl version -a
#进行验证,查看本机ssl是否安装成功

对openssh进行升级操作

查看本机openssh当前安装的软件包,并卸载
[root@localhost ~]# rpm -qa | grep openssh
openssh-clients-7.4p1-21.el7.x86_64
openssh-7.4p1-21.el7.x86_64
openssh-server-7.4p1-21.el7.x86_64
# 查看当前OpenSSH版本(Centos7 默认使用OpenSSH_7.4p1)
[root@localhost ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
# 备份现有的SSH
[root@localhost ~]# mv /etc/ssh/ /etc/ssh.bak
[root@localhost ~]# mv /usr/bin/ssh /usr/bin/ssh.bak
[root@localhost ~]# mv /usr/sbin/sshd /usr/sbin/sshd.bak
# 如果您是第一次升级,备份/etc/init.d/sshd时会不存在,不影响后续操作
[root@localhost ~]# mv /etc/init.d/sshd /etc/init.d/sshd.bak
mv: 无法获取'/etc/init.d/sshd' 的文件状态(stat): No such file or directory
# 卸载现有OpenSSH
rpm -e --nodeps $(rpm -qa |grep openssh)

卸载现有OpenSSH后使用该命令再次查看是否卸载成功

没有内容视为下载完成

rpm -qa | grep openssh
下载编译openssh
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.6p1.tar.gz
编译安装openssh
# 将下载的openssh安装包移动到/usr/local下
[root@localhost ~]# mv openssh-9.6p1.tar.gz /usr/local/
# 进入/usr/local/目录解压openssh9.3
[root@localhost ~]# cd /usr/local/
[root@localhost local]# tar xf openssh-9.6p1.tar.gz
# 进入openssh目录
[root@localhost local]# cd openssh-9.6p1
# 编译安装
[root@localhost openssh-9.6p1]# CCFLAGS="-I/usr/local/include" \
LDFLAGS="-L/usr/local/lib64" \
./configure \
--sysconfdir=/etc/ssh \
--with-zlib \
--with-ssl-dir=/usr/local/openssl
[root@localhost openssh-9.6p1]# make -j 4
[root@localhost openssh-9.6p1]# make install
授权该目录权限
chmod 600 /etc/ssh/*
复制配置文件
[root@localhost openssh-9.6p1]# cp -rf /usr/local/sbin/sshd /usr/sbin/sshd
[root@localhost openssh-9.6p1]# cp -rf /usr/local/bin/ssh /usr/bin/ssh
[root@localhost openssh-9.6p1]# cp -rf /usr/local/bin/ssh-keygen /usr/bin/ssh-keygen
[root@localhost openssh-9.6p1]# cp -ar /usr/local/openssh-9.6p1/contrib/redhat/sshd.init /etc/init.d/sshd
[root@localhost openssh-9.6p1]# cp -ar /usr/local/openssh-9.6p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
修改配置文件
# 修改配置允许root用户远程登录(允许使用密码登录,允许root远程登录,开启端口,赋予/etc/init.d/sshd权限)
cat >>/etc/ssh/sshd_config<<EOF
PermitRootLogin yes
X11Forwarding yes
PasswordAuthentication yes
KexAlgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,curve25519-sha256@libssh.org
EOF

[root@localhost openssh-9.6p1]# sed -i "s/^#Port/Port/g" /etc/ssh/sshd_config
[root@localhost openssh-9.6p1]# chmod 755 /etc/init.d/sshd

启用sshd,生成服务配置文件,并重启服务

# 启用sshd,生成服务配置文件
[root@localhost openssh-9.6p1]# systemctl enable sshd
sshd.service is not a native service, redirecting to /sbin/chkconfig.
Executing /sbin/chkconfig sshd on
# 重启服务
[root@localhost openssh-9.6p1]# systemctl restart sshd
# 查看服务状态
[root@localhost openssh-9.6p1]# systemctl status sshd

若执行service sshd start时出现以下错误

#执行即可解决
yum install openssh-server

验证是否升级openssh成功

 文章参考A-刘晨阳-CSDN博客

[root@localhost ~]# ssh -V
OpenSSH_9.6p1, OpenSSL 1.1.1t  7 Feb 2023
Never say die984
关注
  • 61
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7升级OpenSSH版本至9.6p1
01-17
最近安全研究部门发现针对SSH有缺陷版本的水龟攻击,貌似9.6P1以下版本都会受到影响,与之相关的可利用漏洞标记有:CVE-2023-48795、CVE-2023-46445、CVE-2023-46446,今天趁着周末时间更新一个针对RPM系与DEB系Linux系统源码安装OpenSSHServer 9.6P1版本的教程,适用于CentOS、AlmaLinux、RockyLinux、Debian、Ubuntu等,原则上也适用于国内操作系统如:统信UOS、OpenEuler、麒麟、龙溪等操作系统SSH升级。 本文档针对centos7进行升级操作
CentOS7升级OPENSSH至8.9P1
04-25
CentOS7升级OPENSSH至8.9P1,无需编译,内含rpm包、一键安装脚本
centos7离线升级openssh9.4包含升级脚本
09-15
centos7 离线升级 openssh9.4 包含升级脚本
基于 CentOS7 制作 OpenSSH 9.7 安装包&升级指南
IT布道
08-24 4901
基于CentOS7 制作OpenSSH 安装包以及升级步骤
Centos 7 升级Openssh7.4到9.2
zcfeng
06-05 2786
OPENSSH7.4升级OPENSSH9.2
CentOS7升级OpenSSHopenssh-7.4p1
02-08
将centsos7.1自带的OpenSSH6.6升级到最新的openssh7.4p1。文档内有详细的操作步骤,按文档操作即可进行升级
CentOS7 升级 openssh
weixin_44295677的博客
05-22 1228
openssl 使用 1.1.1.w。3.3 备份并删除openssl目录。3.2 卸载当前opensslopenssh升级到9.7。zlib 使用 1.3.1。2.1 下载zlib安装包。4.9 启动sshd服务。3.10 检查当前版本。4.10 检查当前版本。2.3 创建工作目录。3.1 查看当前版本。3.6 创建工作目录。3.9 更新系统配置。4.1 查看当前版本。4.2 卸载当前版本。4.5 创建工作目录。4.8 修改配置文件。
centos7 升级openssh
Jietewang的博客
07-23 1996
前言 因为生产环境主机一直被通报存在openssh漏洞,报告显示小于某个版本存在很多的漏洞,没办法只能更新对应的版本,记录一下升级过程和一些坑点。已知的任何文档都有不可能完全解决我们即将面对的未知问题,所以建议多动手,多分析。建议在生产服务器操作时先使用同版本的系统到虚拟机上测试。整个过程会升级opensslopenssh,如果有人看到这篇文章并根据指导升级过程中出现问题,建议分开搜索相关升级流程。建议关闭防火墙和seLinux 1.版本对比 升级前旧版 升级后新版 2...
centos7升级openssh9.8
suiyupiaomiao的博客
07-02 5150
centos7升级openssh9.8p1
centos7升级openssh
weixin_40774417的博客
10-08 289
0、准备工作 下载升级openssh8.4需要的OpenSSL-1.1.1g,openssh-8.4p1,zlib-1.2.11 1、解压升级包 tar -zxvf zlib-1.2.11.tar.gz tar -zxvf openssh-8.4p1.tar.gz tar -zxvf openssl-1.1.1g.tar.gz 2、编译安装zlib、opensslopenssh cd zlib-1.2.11 ./configure --prefix=/usr/local/z...
2024年7月1日发布安全漏洞Centos6 openssh9.8p1
07-03
适用于centos 6 redhat 6 x86架构的服务器使用,更新升级,修复安全漏洞。 操作方法: tar -xvf openssh-9.8p1-1.el6.x86_64.tar cd x86_64 cp /etc/ssh/sshd_config /etc/ssh/sshd_config.$(date +%Y%m%d) rpm -ivh...
openssh-9.8p1-1.el7.x86-64
07-02
2024年7月1日发布,openssh 9.8p1版本,修复安全漏洞CVE-2024-6387 适用于centos 7 redhat 7 x86架构的服务器使用,更新升级,修复安全漏洞。
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
热门推荐
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
CentOS7上优雅的升级OpenSSH,修复安全漏洞【最全教程】
morecccc的博客
12-02 5746
OpenSSH升级OpenSSH7.4升级最新版,修复CVE-2023-38408、CVE-2020-15778、CVE-2021-41617等系统漏洞
centos7升级openssh版本
小小傻瓜牙
09-05 374
小白教程,一看就会,一做就成。
linux centos7.9升级openssh9.8过程
最新发布
Mr_hwt_123的博客
07-31 2541
因漏洞扫描扫描出openssh相关的高危漏洞,处理新发布的CVE-2024-6387关于openssh的漏洞,需要升级openssh到9.8版本。
centos7|操作系统|低版本的OpenSSH升级到最新版本OpenSSH-9.8.p1
zsk_john的技术分享专用博客
07-07 2700
OpenSSH是什么 OpenSSHSSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。
Centos7升级openssh到8.8版本
这里是火火火的世界
02-04 1634
openssl version**如下图所示,则说明ssl升级到1.1.1版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值