福永外贸网站建设公司,腾冲住房和城乡建设局网站,建网站 赚钱,微信小程序开发工具下载官网OpenSSH 远程升级到 9.4p1 文章目录 OpenSSH 远程升级到 9.4p1背景升级前提1. 升级 OpenSSL2. 安装并启用Telnet 升级OpenSSH 背景
最近的护网行动#xff0c;被查出来了好几个关于OpenSSH 的漏洞。这是因为服务器系统安装后#xff0c;直接使用了系统自带版本的OpenSSH 被查出来了好几个关于OpenSSH 的漏洞。这是因为服务器系统安装后直接使用了系统自带版本的OpenSSH 此版本已经很老了存在很多高低危漏洞。
系统信息如下 centos: 7 openssh: 1.0.1 升级前提
升级OpenSSH后原有公钥失效信任关系需要重新配置升级过程需要停止sshd服务会导致ssh和sftp无法使用升级需要关闭防火墙服务升级需要关闭selinux服务升级前需要开启telnet防止升级失败系统无法登录对应的防火墙需要开启23端口安装需要telnet相关包升级过程中需要刷新lib库ldconfig -v升级顺序顺序是 openssl - openssh升级需要gcc、make、perl、zlib、zlib-devel、pam、pam-devel依赖包
1. 升级 OpenSSL
安装OpenSSH 9.4p1 需要最少 OpenSSL 1.1.1 以上因此请先查看文章OpenSSL升级
2. 安装并启用Telnet
安装telnet服务端 yum -y install xinetd telnet-server默认情况下系统是不允许root用户telnet远程登录的。如果要使用root用户直接登录需设置如下内容。或者可以添加一个可以登录的用户登录并su到root用户建议采用此方法保证系统安全。此步骤可跳过
允许root用户通过telnet登陆 编辑/etc/pam.d/login注释掉下面这行 vi /etc/pam.d/login#把auth的限制去掉auth [user_unknownignore successok ignoreignore defaultbad] pam_securetty.so开启root用户远程登陆。此步骤可跳过! vi /etc/pam.d/remoteauth required pam_securetty.so重启telnet和xinetd服务 【telnet服务依赖于xinetd服务】 systemctl restart telnet.socketsystemctl restart xinetd将 23端口系统默认23为telnet端口添加到防火墙允许的端口的列表中。 firewall-cmd --zonepublic --add-port23/tcp --permanent升级OpenSSH
关闭SElinux #检查是否关闭getenforce#如果未关闭关闭之setenforce 0上面只是临时关闭了重启后不生效。下面改配置文件使永久生效。 vi /etc/selinux/config#修改SELINUXdisabled#保存退出。安装相关依赖包 yum -y install gcc make perl zlib zlib-devel pam pam-devel# 安装完毕后执行下面命令确保所有依赖包正常安装rpm -qa | egrep gcc|make|perl|zlib|zlib-devel|pam|pam-devel升级openSSH注意从这步开始通过Telnet登录到服务器务必 #停止ssh服务systemctl stop sshd#备份ssh配置文件cp -r /etc/ssh /etc/ssh.old# 查看系统原有openssh包rpm -qa | grep openssh#删除旧版本rpm -e --nodeps rpm -qa | grep openssh#解压新版本tar -zxvf openssh-9.4p1.tar.gz cd openssh-9.4p1# 编译配置 这里请注意--with-ssl-dir 是你openssl安装的目录./configure --prefix/usr --sysconfdir/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-tcp-wrappers --with-ssl-dir/usr/local/ssl --without-hardening#编译安装make make install#调整文件权限chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key#复制配置文件cp -a contrib/redhat/sshd.init /etc/init.d/sshd chmod ux /etc/init.d/sshd#还原 原配置文件mv ../sshd.backup /etc/pam.d/sshd mv ../sshd_config.backup /etc/ssh/sshd_config#添加自启动chkconfig --add sshd chkconfig sshd on#重启服务systemctl restart sshd# 查看版本, 验证结果 - 显示9.4p1即成功ssh -V
