Openssh漏洞修补

Openssh漏洞修补

一、安全隐患

近期受到公司漏洞扫描结果,提示有OpenSSH需要升级

Openssh漏洞修补

二、系统现状

目前OpenSSH的版本是7.4,按照提示需要升级到7.8以后的版本

[root@logdb ~]# ssh -V

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

升级OpenSSH,需要先升级OpenSSL,本例的OpenSSL是是1.0版本,符合要求,故不在升级

三、升级OpenSSH

1.      打开telnet服务

防止万一,打开telnet服务,以免出现问题无法远程连接

# telnet依赖于xinetd

yum install xinetd telnet-server -y

# 编辑追加pts/0 pts/1 pts/2 pts/3

echo -e "pts/0\npts/1\npts/2\npts/3" >> /etc/securetty

# telnet服务 开机运行 和 启动

systemctl enable xinetd

systemctl enable telnet.socket

systemctl start telnet.socket

systemctl start xinetd

2.      停止服务,卸载旧版本

[root@logdb ~]# service sshd stop

Redirecting to /bin/systemctl stop sshd.service

[root@logdb ~]# rpm -qa | grep openssh

openssh-askpass-7.4p1-21.el7.x86_64

openssh-clients-7.4p1-21.el7.x86_64

openssh-7.4p1-21.el7.x86_64

openssh-server-sysvinit-7.4p1-21.el7.x86_64

openssh-server-7.4p1-21.el7.x86_64

[root@logdb ~]# rpm -e  openssh-clients-7.4p1-21.el7.x86_64

[root@logdb ~]# rpm -e  openssh-server-7.4p1-21.el7.x86_64

[root@logdb ~]# rpm -e  openssh-7.4p1-21.el7.x86_64

……….

[root@logdb tmp]# mv /etc/ssh/* /tmp/sshbak/     #备份

3.      安装依赖软件包

[root@logdb tmp]# yum install gcc pam-devel zlib-devel

4.      软件安装

[root@logdb tmp]# tar -xzvf openssh-8.3p1.tar.gz

[root@logdb tmp]# ls -l

total 1684

drwxr-xr-x. 5 1000 oinstall   12288 May 27 11:06 openssh-8.3p1 

[root@logdb tmp]# chown -R root.root openssh-8.3p1  #修改权限

[root@logdb tmp]# ls -l 

total 1684

drwxr-xr-x. 5 root root   12288 May 27 11:06 openssh-8.3p1

-rw-rw-r--. 1 yjyr yjyr 1706358 Jul  1 14:06 openssh-8.3p1.tar.gz

drwxr-xr-x. 2 root root     174 Jul  1 14:37 sshbak

a)        软件编译及安装

[root@logdb openssh-8.3p1]#./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords --with-pam  #编译,prefix不要改动,否则sshd里边有两项指向到/usr,就需要手动修改sshd :

[root@logdb yum.repos.d]# cat /etc/init.d/sshd

Openssh漏洞修补

[root@logdb openssh-8.3p1]# make && make install

b)       复制启动脚本

[root@localhost openssh-8.3p1]# cp contrib/redhat/sshd.init /etc/init.d/sshd

c)        设置开机启动

[root@localhost ~]# chkconfig --add sshd

[root@localhost ~]# chkconfig  sshd  on

[root@localhost ~]# service sshd start

d)       如果需要root账户登录,可填写以下命令(不建议开启):

[root@localhost ~]# vim /etc/ssh/sshd_config           

   PermitRootLogin yes

a)        重启ssh服务

[root@localhost ~]# service sshd restart        

  Restarting sshd (via systemctl):                           [  OK  ]

b)       版本验证

[root@localhost ~]# ssh -V

OpenSSH_8.3p1, OpenSSL 1.0.2k-fips  26 Jan 2017

5.      报错

有时候在软件编译的时候会报如下错误:

checking if openpty correctly handles controlling tty... yes

checking whether AI_NUMERICSERV is declared... yes

checking if SA_RESTARTed signals interrupt select()... yes

checking for getpgrp... yes

checking if getpgrp accepts zero args... yes

configure: error: *** working libcrypto not found, check config.log

yum安装openssl-devel包即可:

[root@localhost ~]# yum install openssl-devel

 

 

 

 

 


上一篇:关于centos7出现ssh版本过低出现的VE-2016-1009漏洞的修复思路(已验证)


下一篇:UML 简单介绍