Linux升级OpenSSH修复高危漏洞

最新推荐文章于 2024-05-08 06:30:14 发布
最新推荐文章于 2024-05-08 06:30:14 发布
阅读量1.9k 收藏
点赞数
分类专栏: Linux 文章标签: openssh漏洞修复 telnet Linux OpenSSH_8.0p1

前言:
近期因centos 6.x和Redhat 6.x 默认openssh扫描存在大量漏洞,基于安全考虑,需要将openssh_5.3p1升级为最新版,网上查了很多教程,发现openssh存在大量依赖,不解决依赖问题很难保证其他服务。而openssl又被大量程序依赖。实在是头疼。最后发现一个不破坏各种依赖又可以完美升级的方案。


1. 开启telnet避免无法登陆

1.1 安装telnet服务
yum -y install telnet-server*
1.2  启用telnet
先关闭防火墙,阿里云把23端口加入安全组,否则telnet可能无法连接
service iptables stop
chkconfig iptables off
vi /etc/xinetd.d/telnet
将其中disable字段的yes改为no以启用telnet服务
mv /etc/securetty /etc/securetty.old    #允许root用户通过telnet登录
service xinetd start                    #启动telnet服务
chkconfig xinetd on                     #使telnet服务开机启动,避免升级过程中服务器意外重启后无法远程登录系统
telnet [ip]                             #新开启一个远程终端以telnet登录验证是否成功启用
2. 检查环境
官方给出的文档中提到的先决条件openssh安装依赖zlib1.1.4并且openssl>=1.0.1版本就可以了。那么直接看当前系统的openssl版本是多少,发现自带的openssl版本符合openssh7.9p1的安装条件,自带的zlib也符合OpenSSH7.9P1的依赖。那么就直接安装吧

[root@zabbix-serv ~]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
[root@zabbix-serv ~]# rpm -q zlib
zlib-1.2.3-29.el6.x86_64
[root@zabbix-serv ~]# rpm -q zlib-devel
zlib-devel-1.2.3-29.el6.x86_64
3. 安装相关组件并升级openssh
yum install -y gcc openssl-devel pam-devel rpm-build pam-devel 
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
rpm -e `rpm -qa | grep openssh` --nodeps
tar -zxvf openssh-7.9p1.tar.gz
cd openssh-7.9p1/
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-tcp-wrappers && make && make install
sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin\ yes/g' /etc/ssh/sshd_config #或手动修改PermitRootLogin no 修改为 PermitRootLogin yes 允许root远程登陆
sed -i 's/#PermitEmptyPasswords\(.*\)/PermitEmptyPasswords\ no/g' /etc/ssh/sshd_config  ##禁止空密码
sed -i 's/^SELINUX\(.*\)/SELINUX=disabled/g' /etc/selinux/config  ##重点来了~~~禁止selinux 否则重启后会登录失败
echo 'KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1' >> /etc/ssh/sshd_config ## 写上新版ssh支持的算法
cp contrib/redhat/sshd.init /etc/init.d/sshd
chkconfig --add sshd
chkconfig sshd on
service sshd start
service sshd restart
chkconfig --list sshd
ssh -V
4. 关闭telnet开启防火墙
mv /etc/securetty.old /etc/securetty   #允许root用户通过telnet登录
service xinetd stop
chkconfig xinetd off
service iptables start
chkconfig iptables on
将之前改过的disable=yes又改回去成no.
随后再将修改iptables将23端口关闭,并重启iptables服务.
至此,可以再开ssh登录,用ssh -V查看版本号.
 
如有必要,可重新开启防火墙
service iptables start
chkconfig iptables on
 

xyz846
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux OpenSSH漏洞修复
迷风小白
08-22 1万+
0X00 Linux漏洞起因 Linux漏洞大多数存在于应用软件中,在软件设计之初和编写代码的过程中可能存在一些当时没有发现的漏洞,在软件发布一段时间后被测试出来存在问题,软件厂商必然会修补这些问题然后重新发布。如果服务器未及时升级软件或打相应的补丁,可能会被漏扫设备扫描出一些软件漏洞。 0X01漏洞修复 漏洞OpenSSH 安全限制绕过漏洞(CVE-2016-10012) Openssh M...
ssh一直被扫描,有办法解决吗?-速盾网络(sudun)
zhuguowang01的博客
01-09 756
综上所述,通过采取以上措施,您可以增强SSH服务器的安全性,并减少被扫描和入侵的风险。如果您需要更高级的安全措施,建议咨询专业的网络安全公司或专家。使用SSH黑名单/白名单:根据IP地址或其他标准,设置黑名单(禁止访问)和白名单(允许访问),以进一步保护SSH服务器。如果您的SSH服务器一直被扫描,可能是因为黑客试图入侵您的系统。更改SSH端口:将默认的SSH端口(22)更改为其他非常用端口,这可以减少扫描活动的数量。定期更新系统和SSH软件:确保您的系统和SSH软件是最新的,以修复已知的安全漏洞
运维最全Linux近两年高危漏洞修复过程记录_cve-2024-27535,2024年最新这原因我服了
最新发布
ZZdjajf13131的博客
05-08 1109
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以点击这里获取!一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!sysctl -p /etc/sysctl.d/userns.conf apiVersion: machineconfiguration.openshift.i
4.5、漏洞利用-SSH安全防御
c10udz的博客
10-02 683
Linux下可以配置不能使用用户名和密码登录,只是用ssh pgp方式登录,规避ssh暴力破解。修改sshd_config中的PasswordAuthentication 中的yes为no。默认ssh使用用户名和密码进行远程登录,但是也可以使用密钥进行身份验证登录(私钥和公钥)利用iptables对多次连接验证错误,进行账户锁定120s。生成ssh密钥对,使用puttygen。
linux的低版本中openssh三大漏洞的分析及修复方法
主题模板站的博客
02-01 1289
参考网址* BUGTRAQ:20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh-参考网址* BUGTRAQ:20080325 rPSA-2008-0120-1 gnome-ssh-askpass openssh openssh-client openssh-下载的是源码包要编译一下,注意我的编译路径,我是讲OPENSSH安装在,原来的路径下,这样后面安装完成后。,可以根据实际情况定制安装路径。
linux如何修补ssh漏洞_如何在 Linux 中创建 SSH 别名
weixin_35094077的博客
01-27 134
如果你经常通过 SSH 访问许多不同的远程系统,这个技巧将为你节省一些时间。你可以通过 SSH 为频繁访问的系统创建 SSH 别名,这样你就不必记住所有不同的用户名、主机名、SSH 端口号和 IP 地址等。此外,它避免了在 SSH 到 Linux 服务器时重复输入相同的用户名、主机名、IP 地址、端口号。在 Linux 中创建 SSH 别名在我知道这个技巧之前,我通常使用以下任意一种方式通过 SS...
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh高危漏洞(亲测有效)
02-22
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh高危漏洞(亲测有效)
linux升级openSSH详细步骤说明
10-27
通过以上步骤,你将在CentOS 7系统上成功地将OpenSSH升级到8.8p1版本,有效地修复了可能存在的安全漏洞,提高了系统的安全性。记得在生产环境中执行此类操作时要谨慎,并确保在升级前备份重要数据,以免造成不可逆的...
麒麟Linux升级openssh-9.7p1脚本
03-21
运行脚本就可以升级openssh至9.7 如果报错,先对脚本进行转码:dos2unix openssh/update_ssh.sh 在运行脚本 操作系统: Operating System:Kylin Linux Advanced Server V10 Kernel: Linux 4.19.90-52.22.v2207.ky10...
centos升级openssh脚本,一键修复openssh漏洞(openssh8.6p1)
10-19
升级openssh8.6p1,openssl-1.1.1g,zlib-1.2.11 上传到centos目录,解压,进入openssh目录 直接bash update_openssh_8_6.sh 完成升级
linux升级openssh到7.8p版本包
10-14
本文将详细介绍如何在Red Hat Enterprise Linux (RHEL)系统上升级OpenSSH到7.8p版本。 首先,升级OpenSSH涉及到以下几个关键步骤: 1. **检查当前版本**: 在终端中输入`ssh -V`或`sshd -V`来查看当前安装的...
SSH服务器支持的算法漏洞
小树苗
04-02 7904
查看linux服务器上支持的(所有的)ssh对称秘钥: ssh -Q cipher查看支持身份验证加密(启用的)的对称秘钥: ssh -Q cipher-auth查看支持的消息完整性秘钥: ssh -Q mac #输入ssh -oCiphers=aes128-ctr 服务器IP地址,可以指定秘钥算法进行ssh连接: #ssh -oCiphers=aes128-ctr 120.78.222.135 解决办法: vim /etc/ssh/ssh_config vim /etc/ssh/sshd_config
linux ssh权限漏洞,OpenSSH 安全限制绕过漏洞(CVE-2016-10012)
weixin_42518838的博客
04-30 2506
OpenSSH 安全限制绕过漏洞(CVE-2016-10012)发布日期:2016-12-20更新日期:2016-12-26受影响系统:OpenSSH OpenSSH <= 7.3不受影响系统:OpenSSH OpenSSH 7.4描述:BUGTRAQ ID: 94975CVE(CAN) ID: CVE-2016-10012OpenSSH 是一组用于安全地访问远程计算机的连接工具。Open...
Linux系统漏洞分析和处理
小树苗
05-13 3649
web漏洞解决办法 1、检测到目标URL存在http host头攻击漏洞 Apache: 增加配置 UseCanonicalName On 2、检测到目标服务器存在应用程序错误 详细信息: 若要使他人能够从本地服务器计算机上查看此特定错误信息的详细信息,请在位于当前 Web 应用程序根目录下的“web.config”配置文件中创建一个 <customErrors> 标记。然后应将...
OpenSSH相关漏洞解决
求索
01-04 7310
本文主要针对绿盟对Linux服务器扫出OpenSSH相关漏洞总结出的解决方案,漏洞更新时间为2014年重要漏洞,本文将服务器更新至OpenSSH-6.6p1版本,可解决2014之前的OpenSSH重要漏洞,帮助通过验收。 OpenSSH-6.6p1具体更新步骤: 1、修改设置文件/etc/xinetd.d/telnet 中disable字段改为no; 2、打开telnet服务; #serv
linux问题解决:多种方法处理ssh暴力攻击
这里是河边
09-10 6073
linux问题解决:多种方法处理ssh暴力攻击 目录一、前言二、处理方式1. 更改ssh端口2. 禁止root用户登录3. RSA密钥登录4. 修改配置文件5. 使用iptables工具三、总结 一、前言   说实话挺离谱的,昨晚登我云服务器的时候,感觉root登录有点卡,然后登进去阿里云那边提醒说自上次登录至现在有xxx条登录失败结果。我一瞅,这量有点大啊,然后用命令lastb看了眼登录失败的日志。如下图:   可以看出来,这人应该是广撒网瞎捕鱼,因为攻击频率不算高并且IP都源自一个地方江苏省宿迁市 电
害怕Linux SSH不安全?这几个小妙招安排上!
网络技术联盟站
03-05 1103
本文给大家介绍了很多提升Linux SSH安全性的妙招,希望大家看完本文后就能给服务器安排上!
linux升级openssh
03-16
升级Linux上的OpenSSH,可以按照以下步骤进行: 1. 检查当前系统上安装的OpenSSH版本,可以使用命令“ssh -V”来查看。 2. 下载最新版本的OpenSSH软件包,可以从OpenSSH官网或Linux发行版的软件仓库中获取。 3....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值