通過主機掃瞄發現系統存在openssh漏洞,具體漏洞如下:
openssh sshd 安全漏洞(cve-2015-8325)
openssh 拒絕服務漏洞(cve-2016-0778)
openssh sshd 許可權許可和訪問控制漏洞(cve-2015-5600)
openssh 遠端**執行漏洞(cve-2016-10009)
openssh sshd 緩衝區錯誤漏洞(cve-2016-10012)
openssh j-pake授權問題漏洞(cve-2010-4478)
openssh『hash_buffer』函式緩衝區溢位漏洞(cve-2014-1692)
openssh scp客戶端安全漏洞(cve-2018-20685)
openssh ..................
公升級前需要對ss**件進行備份 cp -rf /etc/ssh /etc/ssh.bak
公升級過程未防止公升級失敗,需要先部署並開啟telnet服務,防止公升級失敗連線不上遠端主機。
公升級到openssh最新版本需要以下支援:
openssl版本:目前openssh8.0不支援openssh1.1.x以上。否則編譯的時候會報錯。(openssl version 檢視版本)
沒有openssl 直接yum install openssl
zlib1.1.4或1.2.1.2或更高版本(rpm -q zlib rpm -q zlib-devel檢視版本,zlib和zlib-devel都需滿足)
沒有zlib的話,直接yum install zlib 和 yum install zlib-devel
gcc:因為編譯需要gcc (gcc –v 檢視gcc版本) 沒有gcc 直接 yum install gcc
openssl-devel:編譯時需要(rpm -qa|grep openssl 需存在openssl-devel-***.x86_64)
沒有直接yum install openssl-devel/ 進行公升級是需要對以上內容進行驗證。
部署思路:資料備份-->解除安裝舊版本-->允許root用telnet登陸,增加pts配置--->開啟telnet服務功能--->開啟服務和開機自啟--->解壓安裝包
--->切換目錄並編譯安裝--->修改配置檔案--->開啟sshd服務並自啟---->驗證測試
#!/bin/bash
cp -rf /etc/ssh/ /etc/ssh.bak
rpm -e `rpm -aq openssh` --nodeps
rpm -ivh telnet-0.17-48.el6.x86_64.rpm
rpm -ivh telnet-server-0.17-48.el6.x86_64.rpm
echo pts/0 >> /etc/securetty
echo pts/1 >> /etc/securetty
sed -i '12s/yes/no/' /etc/xinetd.d/telnet
service xinetd start
ss -ntulp|grep :23
service xinetd restart
chkconfig xinetd on
ss -ntulp|grep :23
tar zxf openssh-8.3p1.tar.gz
cd openssh-8.3p1/
./configure --prefix=/usr --sysconfdir=/etc/ssh
make && make install
sed -i '/#permitrootlogin/s/#//g' /etc/ssh/sshd_config
sed -i '/#pubkeyauthentication/s/#//g' /etc/ssh/sshd_config
service sshd start
chkconfig sshd on
echo 'kexalgorithms [email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1' >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
ssh -v
CentOS下openssh版本降級
1.解除安裝openssh 執行rpm qaopenssh 檢視是否已經安裝過了。root node51 rpm qaopenssh openssh server 6.6.1p1 11.el7.x86 64 openssh 6.6.1p1 11.el7.x86 64 openssh clients ...
CentOS下OpenSSH版本公升級
1 進入centos系統後,切換到root使用者,檢視當前openssh版本 安裝依賴環境 yum install gcc gcc c autoconf automake yum y install zlib zlib devel openssl openssl devel pcre pcre de...
Openssh版本公升級(Centos6 7)
實現前提 公司伺服器需要進行安全測評,掃瞄漏洞的裝置掃出了關於 openssh 漏洞,主要是因為 openssh的當前版本為5.3,版本低了,而yum最新的openssh也只是5.3,沒辦法只能到 rpm 官網找新的包,找到最新的是 6.4,然後通過 yum localinstall 公升級了,但是...