實作前提
公司伺服器需要進行安全測評,掃描漏洞的裝置掃出了關于 openssh 漏洞,主要是因為 openssh的目前版本為5.3,版本低了,而yum最新的openssh也隻是5.3,沒辦法隻能到 rpm 官網找新的包,找到最新的是 6.4,然後通過 yum localinstall 更新了,但是安全部門反映還存在 openssh 漏洞,沒辦法隻能去openssh官網找最新的release,安裝版本是 7.7!
更新原因
7.4以下版本openssh版本存在嚴重漏洞:
1.OpenSSH 遠端權限提升漏洞(CVE-2016-10010)
2.OpenSSH J-PAKE授權問題漏洞(CVE-2010-4478)
3.Openssh MaxAuthTries限制繞過漏洞(CVE-2015-5600)
OpenSSL>=1.0.1可以不用更新OpenSSL
更新前操
為避免更新過程中ssh異常,造成連接配接斷開而無法繼續操作伺服器,故先留條後路,部署telnet;操作如下:
# yum -y install telnet-server* telnet
# vi /etc/xinetd.d/telnet (将其中disable字段的yes改為no以啟用telnet服務)
# mv /etc/securetty /etc/securetty.old #允許root使用者通過telnet登入
# service xinetd start
# chkconfig xinetd on
# 部署完畢後,用telnet測試登陸伺服器;
更新操作
筆者将更新内容做成了腳本,在伺服器上執行以下腳本,即可實作openssh的版本更新,腳本如下:
# cat upte_openssh.sh
#!/bin/bash
# by kazihuo.
wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
mv /etc/ssh /etc/ssh.old
mv /etc/init.d/sshd /etc/init.d/sshd.old
yum -y remove openssh openssh-server openssh-clients openssh-askpass
install -v -m700 -d /var/lib/sshd
chown -v root:sys /var/lib/sshd
groupadd -g 50 sshd
useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd
tar -axf openssh-7.7p1.tar.gz
cd openssh-7.7p1
yum -y install pam-devel gcc pam-devel zlib-devel
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd
make && make install
install -v -m755 contrib/ssh-copy-id /usr/bin
install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1
install -v -m755 -d /usr/share/doc/openssh-7.7p1
install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.7p1
ssh -V
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
chkconfig --add sshd
chkconfig sshd on
service sshd restart 版本驗證
# ssh -V
OpenSSH_7.7p1, OpenSSL 1.0.2k-fips 26 Jan 2017
哦……成功了耶!
-------------------------------------------------------------
作者:
羅穆瑞出處:
http://www.cnblogs.com/kazihuo/轉載請保留此段聲明,且在文章頁面明顯位置給出原文連結,謝謝!
------------------------------------------------------------------------------
如果覺得這篇文章對你有小小的幫助的話,記得在右下角點個“推薦”哦,部落客在此感謝!
![ACS基本配置-權限等級管理[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)