OpenSSH 漏洞修复升级最新版本(修改版)

最新推荐文章于 2024-08-09 12:06:57 发布
最新推荐文章于 2024-08-09 12:06:57 发布
阅读量921 收藏 1
点赞数
文章标签: ssh OpenSSH
原文链接:https://blog.csdn.net/morecccc/article/details/134758892
版权

Centos7系统ssh默认版本一般是OpenSSH7.4左右,低版本是有漏洞的而且是高危漏洞,在软件交付和安全扫描上是过不了关的,一般情况需要升级OpenSSH的最新版本

今天详细说下升级最新版本的处理过程(认真看会发现操作很简单,因为写的操作很详细…)
注:原文部分遗漏的操作,在这里补上了

1、第一步通过telnet-server连接服务器

现在绝大多数服务器的操作连接基本都是走的SSH协议,也就是常用的22端口。在升级OpenSSH的过程中会卸载老版本,安装新版本,也就意味着升级过程中如果出现了问题,你可能会永远连不上你的服务器了,最后只能重装系统(在客户服务器上踩过雷…)

如何避免这个问题呢,就是采用telnet协议(23端口)来连接服务器,这样在SSH升级的过程中失败也不会有影响,重来就完事了 ~

安装telnet-server服务

#telnet服务是由xinetd管理的,需要安装xinetd服务才能启动telnet-server
yum -y install telnet-server xinetd
 
#添加telnet配置文件
echo "service telnet
{
    flags        = REUSE
    socket_type    = stream        
    wait        = no
    user        = root
    server        = /usr/sbin/in.telnetd
    log_on_failure    += USERID
    disable        = no
}" > /etc/xinetd.d/telnet 

#要更改telnet端口,找到telnet 23/tcp修改保存
nano /etc/services

#启动xinetd
systemctl start xinetd
 
#开机自启xinetd  (开机自启最好加上,升级完成SSH之后。会有重启环节,为防止意外服务最好自启 后续升级完成再关闭就行)
systemctl enable xinetd

服务安装完成,创建新用户用来登录telnet

#telnet本身拒绝root用户远程登录(注:有些系统可以),最好用普通用户登录 然后su 到root账户
#创建账号
useradd test
#设置密码
passwd  test

用telnet方式连接登录服务器

[root@jinzhi01 ~]# telnet 192.168.0.200
Trying 192.168.0.200...
Connected to 192.168.0.200.
Escape character is '^]'.
 
Kernel 3.10.0-862.el7.x86_64 on an x86_64
jinzhi01 login: test
Password: 
Last login: Sat Dec  2 22:44:45 from jinzhi01
[test@jinzhi01 ~]$ su
密码:
[root@jinzhi01 test]#

到这里telnet网络连接就安装完成了,安全部分已经得到保障,后续所有操作 都可以在telnet连接下进行(你会发现和SSH协议 除了登录有点区别,操作都是一样的)

2、安装openssl和zlib

升级OpenSSH需要先安装最新版的openssl和zlib

openssl地址
https://www.openssl.org/

zlib地址
https://www.zlib.net/

OpenSSH
https://www.openssh.com/

下载安装包

#进入源码存放目录
cd /usr/local/src/
#下载openssh最新安装包
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.5p1.tar.gz
#下载ssl
wget https://www.openssl.org/source/openssl-3.2.0.tar.gz --no-check-certificate
#下载zlib
wget https://www.zlib.net/zlib-1.3.tar.gz

安装zlib

cd /usr/local/src/
#解压文件
tar zxvf zlib-1.3.tar.gz
cd  zlib-1.3
#安装前置依赖
yum install gcc gcc-c++ make -y 
#编译安装zlib
./configure --prefix=/usr/local/zlib
make && make install

安装openssl

cd /usr/local/src/
#解压文件
tar zxvf openssl-3.2.0.tar.gz
cd openssl-3.2.0
 
#安装相应的前置依赖
yum install -y perl-CPAN perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker
 
#--prefix指定编译到的目录,"shared"作用是生成动态链接库(即.so库)
./config  --prefix=/usr/local/ssl  --shared
#编译安装ssl,这个安装过程很长大概有10分钟左右
make && make install

#新注:编译好后需链接相关目录
mv -f /usr/bin/openssl /usr/bin/openssl.bak
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf.d/ssl.conf

#查看链接
ldconfig -v
#查看版本
openssl version -a

#路径写入etc/ld.so.conf
echo '/usr/local/ssl/lib64' >> /etc/ld.so.conf

3、备份并卸载老版本OpenSSH

#备份ssh配置文件
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp -p /usr/sbin/sshd /usr/sbin/sshd.bak
cp -p /usr/bin/ssh /usr/bin/ssh.bak
cp -p /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak
cp -p /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub.bak
 
 
#停止ssh服务
systemctl stop sshd
#备份ssh文件
cp -r /etc/ssh /etc/ssh.old 
 
 
 
#查询原有ssh包并卸载
rpm -qa | grep openssh
openssh-7.4p1-23.el7_9.x86_64
openssh-clients-7.4p1-23.el7_9.x86_64
openssh-server-7.4p1-23.el7_9.x86_64
#根据查询结果,卸载原有OpenSSH包
yum  remove openssh-7.4p1-23.el7_9.x86_64
 
#再次查看已经没有了
rpm -qa | grep openssh

4、升级OpenSSH

 
cd /usr/local/src/
#解压
tar zxvf  openssh-9.5p1.tar.gz
cd openssh-9.5p1
#编译安装openssh 指明zlib路径和ssl路径
./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl
make && make install 
 
#ssh允许root登录、需要密码进行验证
echo 'PermitRootLogin yes' >>/usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >>/usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >>/usr/local/openssh/etc/sshd_config
 
#将编译安装的新配置文件   拷贝到原路径下
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub
 
 
#拷贝启动脚本
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
#给sshd添加可执行权限
chmod +x /etc/init.d/sshd
#设置开机自启
systemctl enable sshd
#重新启动sshd服务
systemctl restart sshd
#查看sshd服务状态
systemctl status sshd
#查看ssh版本是否升级成功,可以查看到已经是9.5版本了
ssh -V
OpenSSH_9.5p1, OpenSSL 3.2.0 23 Nov 2023

参考:
OpenSSH 漏洞修复升级最新版本
https://blog.csdn.net/morecccc/article/details/134758892
centos升级openssh脚本,一键修复openssh漏洞
https://download.csdn.net/download/zzc8081/33337098

Leckun
关注
centos升级openssh7.4OpenSSH远程代码执行漏洞
weixin_33738578的博客
05-15 5260
漏洞编号CVE-2016-10009漏洞名称OpenSSH远程代码执行漏洞漏洞描述sshd服务可以利用转发的agent-socket文件,欺骗本机的ssh-agent来加载一个恶意的PKCS#11模块,从而可以远程执行代码。官方评级中危漏洞危害***利用漏洞实现远程命令执行,严重情况下可能会导致数据泄露。漏洞利用条件可以实现远程利用。该漏洞利用依赖ssh-agent。该进程默...
OpenSSH升级
m0_37642477的博客
03-06 2650
OpenSSHSSH协议的免费开源实现,经常会曝出安全漏洞,由于CentOS7自带的OpenSSH版本(OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017)太低,有必要进行新服务器的OpenSSH版本升级升级OpenSSH升级前首先需要升级OpenSSL。 本升级教程仅针对CentOS7 预处理防止升级过程中连接中断 #安装telnet服务 yum -y install telnet-server #启动telnet服务 systemctl start tel
Linux安装升级OpenSSH服务
最新发布
小黑哪有坏心思!
08-09 1812
Linux安装、部署、升级OpenSSL和OpenSSH服务及其安装过程存在的问题和解决办法...
OpenSSH升级版本
qq_40679463的博客
05-04 760
(1)考虑是否是selinux启用了策略,将/etc/selinux/config 文件中的SELINUX=enforcing 修改为 SELINUX=disabled。8.安装完成后使用xshell之类的工具登录,发现在输入密码后被拒绝,用下面方法解决。1、为防止安装失败,无法用ssh做远程连接,因此先安装telnet防一手。项目被扫出openssh有严重漏洞,因此要升级openssh到最新版本。启动前要将新生成的sshd_config修改以下几个地方。5.再卸载由yum安装的openssh
Openssh升级到最新版本
灼烧的疯狂
02-23 4559
Openssh升级到最新、Openssh升级ssh升级Openssh升级到8.8
openSSH升级到最新版本
雪花凌落的盛夏
08-17 312
【代码】openSSH升级到最新版本
OpenSSH升级新版本
m0_65038436的博客
11-07 2080
/configure --with-ssl-dir=#OpenSSL路径。本次下载的版本为openssl-3.0.12.tar.gz。升级最新的OpenSSH需要升级OpenSSL最新。#需要在 ./configure增加参数。
信息安全+rockylinux9.3+openssh9.7p1+漏洞修复
03-27
首先,我们需要了解Rocky Linux 9.3自带的OpenSSH版本可能不是最新版,因此有必要进行升级升级过程的第一步是确保系统的软件源是最新的,可以运行以下命令来更新系统: ```bash sudo yum update -y ``` 接着,...
Redhat6.5升级openSSH-8.7p1修补扫描openSSH漏洞.zip
09-26
在描述中提到的漏洞可能是由于旧版本的OpenSSH存在安全缺陷,可能导致恶意攻击者入侵系统,因此需要及时更新到最新版本。在这个案例中,我们需要将OpenSSH从旧版本升级到8.7p1,这是一个包含安全修复的更新版本。 ...
Openssh 8.0升级方法和步骤
10-27
升级过程涉及多个步骤,包括更新依赖、安装OpenSSL、安装OpenSSH、修改配置以及重启服务。 首先,确保系统中的软件包是最新的,这是任何升级操作的基础。执行以下命令更新系统中的OpenSSH及其依赖: ```bash yum ...
openssh漏洞修复
Top725的博客
06-09 3655
** 一、升级环境 ** Red-Hat 6.8版本 ** 二、 OpenSSH升级准备 ** 2.1 升级思路考虑到OpenSSH升级采用远程连接方式升级,为保证升级正常,将采telnet连接来进行升级操作,依次进行OpenSSH原配置文件备份、旧版本OpenSSH删除、安装新版本OpenSSH。 2.2 下载所需的安装包, 此次安装需要安装包如下telnet服务所需的安装包: teln...
openssh升级
11-29
linux系统更新系统时间
centos7离线升级openssh9.4包含升级脚本
09-15
OpenSSH的每次更新都会修复已知的安全漏洞,提高加密算法的强度,以及改进性能和用户体验。因此,及时将CentOS7中的OpenSSH从旧版本升级到9.4是非常必要的。 离线升级通常在没有互联网连接或者网络带宽有限的情况下...
OpenSSH升级至最新版本9.8
m0_56923443的博客
07-02 6449
下载链接:https://www.openssh.com/releasenotes.html,遗憾的是目前各操作系统的软件源均不支持openssh更新到最新版本,只能手动更新了。cp -a /home/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd(根据文件实际存储路径选择)OpenSSH < 4.4p1(未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁)8.5p1 <= OpenSSH < 9.8p1。
升级Openssh
小五
10-11 135
升级Openssh #!/bin/bash SSH='openssh-8.1p1.tar.gz' SSH_FILE='openssh-8.1p1' #SSH='openssh-8.2p1.tar.gz' #SSH_FILE='openssh-8.2p1' wget_ssh() { yum -y install wget >/dev/null 2>&1 wget -P /tmp/ 10.161.12.246/openssh/"$SSH" >/dev/null 2&gt
升级OpenSSH
qq_44659804的博客
11-08 185
升级OpenSSH
openssh 升级至目前最新7.5版本遇到的一些坑
weixin_33704591的博客
03-30 2330
openssh upgrade to latest version 最近公司的系统被客户那边的一套扫描漏洞的设备扫出了关于 openssh 的几个漏洞,大概看了一下主要是因为 openssh 当前版本为 5.3,版本低了,本来觉得是个小问题,我自己的 distribution 是 centos 6.x, yum 最新的 openssh 也...
openssh服务升级到最新版本OpenSSH-9.8p1完全手册---- (只适用于centos6)
zsk_john的技术分享专用博客
07-27 2295
​ 上传openssh-9.8p1.tar.gz 这个源码包到centos6服务器上,并解压,解压后将SPEC文件复制到/root/rpmbuild/SPEC目录下 (源码包和askpass压缩包都在附件1里面) 将openssh-9.8的源码包和x11-ssh-askpass-1.2.4.1.tar.gz放置到 /root/rpmbuild/SOURCES 目录下 x11-ssh-askpass-1.2.4.1.tar.gz的下载地址是Index of /repo/pkgs/openssh/x11-s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值