放在最前面:鉴于网上爬虫猖獗,博客被盗时有发生,这里需要来个链接,大家请认准来自博客园的Scoter:http://www.cnblogs.com/scoter2008,本文将持续更新
最近绿盟给扫描出了几个漏洞,都是关于openssh的,于是仔细看了一下,即使是最新版的CentOS 7.2也还在用openssh 6.6.1p1,yum update更新无济于事,那么只有我们自己动手了
CentOS 7.2更新过程
1、查看一下openssh的版本信息
[root@localhost ~]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013
2、备份文件,备份一下/etc/ssh/sshd_config文件,安装完成后可以参考
[root@localhost ssh]# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
3、升级的思路是将新版openssh制作成rpm包,然后安装更新(这是尝试了几种方法后,感觉最好的一种),这里先安装编译所需工具
yum groupinstall -y Development tools
yum install -y pam-devel rpm-build rpmdevtools zlib-devel krb5-devel tcp_wrappers tcp_wrappers-devel tcp_wrappers-libs libX11-devel xmkmf libXt-devel wget openssl openssl-devel
4、配置RPM编译环境
cd ~
mkdir rpmbuild
cd rpmbuild
mkdir -pv {BUILD,BUILDROOT,RPMS,SOURCES,SPECS,SRPMS}
5、生成openssh的RPM安装包
5.1、下载源码包
cd ~/rpmbuild/SOURCES/
wget http://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.3p1.tar.gz
wget http://ftp.riken.jp/Linux/momonga/6/Everything/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz
5.2、配置SPEC文件
cd ~/rpmbuild/SPECS/
tar zxf ../SOURCES/openssh-7.3p1.tar.gz openssh-7.3p1/contrib/redhat/openssh.spec
mv openssh-7.3p1/contrib/redhat/openssh.spec openssh-7.3p1.spec
rm -fr openssh-7.3p1
sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" openssh-7.3p1.spec
sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" openssh-7.3p1.spec
sed -i -e "s/BuildPreReq/BuildRequires/g" openssh-7.3p1.spec
5.3、编译生成RPM
cd ~/rpmbuild/SPECS/
rpmbuild -bb openssh-7.3p1.spec
5.4、查看生成包
cd ~/rpmbuild/RPMS/x86_64
ls
5.5、安装生成的RPM包
yum install openssh-7.3p1-1.x86_64.rpm openssh-clients-7.3p1-1.x86_64.rpm openssh-server-7.3p1-1.x86_64.rpm
6、修改配置文件,可以和先前备份的文件对比,按顺序来,不然行号会对不上(这个修改按你的需求来,这里是参照旧的sshd_config.bak进行的设定)
cp /etc/ssh/sshd_config.rpmnew /etc/ssh/sshd_config
上面这步不是必须,安装RPM包的时候会有提示,如果没有生成这个sshd_config.rpmnew文件,可以跳过上面这步
sed -i "37a\SyslogFacility AUTHPRIV" /etc/ssh/sshd_config
sed -i "44a\PermitRootLogin yes" /etc/ssh/sshd_config
sed -i "77a\ChallengeResponseAuthentication no" /etc/ssh/sshd_config
sed -i "88a\GSSAPICleanupCredentials no" /etc/ssh/sshd_config
sed -i "112a\UsePrivilegeSeparation sandbox" /etc/ssh/sshd_config
7、更改密钥权限,所有密钥权限必须为600,密钥格式为ssh_host_XXX_key,全部在/etc/ssh目录下
cd /etc/ssh
chmod 600 ssh_host_XXX_key
8、重启sshd服务
/etc/init.d/sshd restart
9、尝试用CRT或Xshell连接,能连上就没问题了
10、最后检查一下开机自启,因为没有动过sshd.service自启脚本,所有应该没有问题
11、看一下更新后的成果
[root@localhost ~]# ssh -V
OpenSSH_7.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
Ubuntu 14.04更新过程
因为觉得sudo用着麻烦,直接修改了sshd_config文件,直接用root用户登录了系统,以下操作都是在root用户下进行的
因为Ubuntu刚接触不久,玩的不怎么6,这里采用编译安装,如果有更简单的方法,敬请大神告知
1、查看openssh的版本
root@ubuntu:~# ssh -V
OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.7, OpenSSL 1.0.1f 6 Jan 2014
2、安装基础编译环境
apt-get install build-essential
3、更新openssl,这个需要更新,不更新在openssh的configure阶段会提示找不到头文件
apt-get install openssl
4、卸掉旧的openssh
apt-get remove openssh-*
他会列一堆东西出来,但实际只会移除4个包
openssh-server
openssh-client
openssh-sftp
openssh-import-id
5、编译安装zlib库,安装包建议用浏览器下载好再rz到服务器,wget很慢
wget http://zlib.net/zlib-1.2.8.tar.gz
tar zxf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure
make
make install
6、更新ssl库
apt-get install libssl-dev
7、编译安装openssh(主角登场,此处应该有掌声)
wget http://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.3p1.tar.gz
tar zxf openssh-7.3p1.tar.gz
cd openssh-7.3p1
./configure
make
make install
8、安装完成后会提示你用他给你的命令启动服务,但是请先不要启动,我们需要改一下配置
ssh-keygen: generating new host keys: RSA DSA ECDSA ED25519
上面是创建了新的host key,下面是服务的测试启动命令
/usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config
9、更改配置,新安装的openssh需要指定sshd_config路径,这个新路径和旧路径不一样,所以你可以对比两个配置文件,按你的需要修改一下配置(其实不用更改什么,默认也可以)
vimdiff /etc/ssh/sshd_config /usr/local/etc/sshd_config
10、启动sshd服务,觉得麻烦,自己做软链接
/usr/local/sbin/sshd -f /usr/local/etc/sshd_config
11、尝试登录并检查自启情况
vim /etc/rc.local
在exit 0之前加入以下内容
/usr/local/sbin/sshd -f /usr/local/etc/sshd_config
服务就能自启,再来看看更新后的openssh版本吧
ccyy@ubuntu:~$ ssh -V
OpenSSH_7.3p1, OpenSSL 1.0.1f 6 Jan 2014
其他的Linux系统参考着做吧