漏洞掃描工具掃描出openssh使用者枚舉漏洞,搜尋資料得知無更新檔和更新包,解決這個漏洞得安裝漏洞修複之後的版本version>7.8。
環境
linux版本: CentOS Linux release 7.5.1804
ssh版本: OpenSSH_7.4p1
更新前準備
- 備份
-
備份ssh配置
mkdir -p /bak
cp -ar /etc/ssh /bak
-
備份老版本的openssh軟體包
[[email protected] soft]# rpm -qa|grep openssh
openssh-7.4p1-16.el7.x86_64
openssh-server-7.4p1-16.el7.x86_64
openssh-clients-7.4p1-16.el7.x86_64
可以去網上下載下傳,這裡上傳的雲盤:
連結: https://pan.baidu.com/s/1K9PRWji99IeSoWc6O6rcfw 提取碼: ex5v
下載下傳openssh7.4.zip, 将這些檔案全部上傳至要更新的伺服器。
-
安裝telnet服務,防止ssh更新後登入不上
網盤裡telnet.zip解壓安裝即可:
[[email protected] telnet_dir]# ls telnet-0.17-64.el7.x86_64.rpm telnet-server-0.17-64.el7.x86_64.rpm xinetd-2.3.15-13.el7.x86_64.rpm [[email protected] telnet_dir]# rpm -iv --force --nodeps *.rpm [[email protected] telnet_dir]# chkconfig xinetd on 注意:正在将請求轉發到“systemctl enable xinetd.service”。 [[email protected] telnet_dir]# chkconfig telnet on 注意:正在将請求轉發到“systemctl enable telnet.socket”。 Created symlink from /etc/systemd/system/sockets.target.wants/telnet.socket to /usr/lib/systemd/system/telnet.socket. [[email protected] telnet_dir]# systemctl start telnet.socket [[email protected] telnet_dir]# systemctl start xinetd # 測試telnet是否連接配接正常,預設配置不支援root登入,最好建一個普通使用者登入,再su到root,更新完成再userdel -r 删除使用者即可,也可以更改配置允許root通過telnet登入。 [[email protected] telnet_dir]# useradd tom [[email protected] telnet_dir]# passwd tom 進行遠端telnet連接配接測試
-
建構openssh7.9p1的rpm包
這裡為了更省事,防止網絡等環境問題,建構openssh的rpm包進行安裝。上面從我的網盤連結裡下載下傳了openssh.zip檔案的可以忽略這一步,因為openssh.zip裡面已經建構好了openssh7.9p1的rpm包,直接進行更新安裝即可。
[[email protected] ~]# mkdir -p /usr/src/redhat/{SOURCES,SPECS}
[[email protected] ~]# cd /usr/src/redhat/SOURCES/
[[email protected] SOURCES]# wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
[[email protected] SOURCES]# tar -zvxf openssh-7.9p1.tar.gz openssh-7.9p1/contrib/redhat/openssh.spec
[[email protected] SOURCES]# mv openssh-7.9p1/contrib/redhat/openssh.spec ../SPECS/
[[email protected] SOURCES]# chown sshd:sshd /usr/src/redhat/SPECS/openssh.spec
[[email protected] SOURCES]# cp /usr/src/redhat/SPECS/openssh.spec /usr/src/redhat/SPECS/openssh.spec_def
[[email protected] SOURCES]# sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" /usr/src/redhat/SPECS/openssh.spec
[[email protected] SOURCES]# sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" /usr/src/redhat/SPECS/openssh.spec
[[email protected] SOURCES]# mkdir -p ~/rpmbuild/SOURCES/
[[email protected] SOURCES]# cp /usr/src/redhat/SOURCES/openssh-7.9p1.tar.gz ~/rpmbuild/SOURCES/
[[email protected] SOURCES]# cd /usr/src/redhat/SPECS/
[[email protected] SPECS]# rpmbuild -ba openssh.spec
[[email protected] SPECS]# ll /root/rpmbuild/RPMS/x86_64/openssh-*
-rw-r--r-- 1 root root 496204 1月 17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-7.9p1-1.el7.x86_64.rpm
-rw-r--r-- 1 root root 548576 1月 17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-clients-7.9p1-1.el7.x86_64.rpm
-rw-r--r-- 1 root root 2508852 1月 17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-debuginfo-7.9p1-1.el7.x86_64.rpm
-rw-r--r-- 1 root root 391696 1月 17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-server-7.9p1-1.el7.x86_64.rpm
參考:https://blog.csdn.net/qq_42609381/article/details/82855043
# 編譯過程遇到的錯誤:
錯誤:建構依賴失敗: openssl-devel < 1.1 被 openssh-7.9p1-1.el7.x86_64 需要
解決:[[email protected] SPECS]# vim openssh.spec 注釋掉 BuildRequires: openssl-devel < 1.1 這一行
錯誤:configure: error: PAM headers not found
RPM 建構錯誤: /var/tmp/rpm-tmp.OB3GHI (%build) 退出狀态不好
解決: yum install pam-devel
錯誤:壞檔案:/root/rpmbuild/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz: 沒有那個檔案或目錄
解決:
wget http://ftp.riken.jp/Linux/momonga/6/Everything/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz
cp x11-ssh-askpass-1.2.4.1.tar.gz /root/rpmbuild/SOURCES/
更新
- 解除安裝目前版本的openssh
rpm -e `rpm -qa |grep openssh` 如果有依賴: rpm -e `rpm -qa |grep openssh` --nodeps
- 删除/etc/ssh/下所有檔案(注意檢查是否備份)
rm -rf /etc/ssh/*
- rpm安裝openssh7.9p1
unzip openssh.zip rpm -iv --force --nodeps *.rpm
- 配置服務
可以直接恢複之前的ssh配置檔案看能否成功,我這裡直接恢複之前的配置檔案可以啟動但無法連接配接,我注釋掉GSS和PAM後可以連接配接。設定開機啟動: chkconfig sshd on 編輯ssh配置檔案: vim /etc/ssh/sshd_config 配置: PasswordAuthentication yes 如果要允許root使用者ssh登入需要配置:PermitRootLogin yes 服務重新開機 service sshd restart 驗證連接配接和版本 ssh -V
#GSSAPIAuthentication yes
#GSSAPICleanupCredentials no
#UsePAM yes
解除安裝telnet
更新完成之後如果需要解除安裝telnet,進行如下步驟即可(解除安裝之前確定ssh連接配接已經沒有問題):
systemctl stop xinetd
systemctl stop telnet.socket
chkconfig xinetd off
chkconfig telnet off
rpm -e `rpm -qa|egrep "telnet|xinetd"`
# 最後删除之前測試telnet建立的普通使用者
userdel -r tom
轉載于:https://www.cnblogs.com/liao-lin/p/10286722.html