漏洞名稱:
openssh漏洞
風險描述:openssh 是一組用於安全地訪問遠端計算機的連線工具,低版本爆出的高危漏洞太多
修復建議:公升級到最新版本
(一)公升級條件準備
²關閉防火牆
# ufw disable
²安裝與啟用telnet
開啟telnet server,以防止公升級openssh時導致遠端連線異常,具體telnet服務安裝與開啟命令操作如下。
# apt-get install -y openbsd-inetd
# apt-get install -y telnetd
# service openbsd-inetd start
# wget --no-check-certificate
# wget
# wget
²安裝zlib依賴庫
# tar zxvf zlib-1.2.11.tar.gz
# cd zlib-1.2.11
# ./configure
# make && make install
# echo "/usr/local/lib" >> /etc/ld.so.conf
# ldconfig
²新增普通賬戶
# useradd iflytek
# passwd iflytek
(二)openssl公升級
# tar zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config shared -fpic
# make && make install
# echo "/usr/local/ssl/lib " >> /etc/ld.so.conf
# ldconfig
# rm -rf /usr/bin/openssl
# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
# openssl version
(三)openssh公升級
使用命令「telnet ip」遠端連線伺服器,關閉ssh服務以便公升級。
#停止sshd服務
# service sshd stop
# apt安裝libpam0g-dev
# apt-get install libpam0g-dev # 缺少libpam0g-dev會報錯
#刪除原ssh中的相關配置檔案
# rm -rf /etc/ssh /usr/bin/scp /usr/bin/sftp /usr/bin/ssh* /usr/sbin/sshd
# rm -rf /lib/x86_64-linux-gnu/libssl.so.1.0.0
# rm -rf /lib/x86_64-linux-gnu/libcrypto.so.1.0.0
# cp /usr/local/ssl/lib/libssl.so.1.0.0 /lib/x86_64-linux-gnu/
# cp /usr/local/ssl/lib/libcrypto.so.1.0.0 /lib/x86_64-linux-gnu/
#解壓新版openssh並編譯安裝
如果遇到這個錯誤,說明pam沒裝,需要裝下:apt-get install pam
#
# ln -s /usr/local/ssh/bin/ssh /usr/bin/ssh
# ln -s /usr/local/ssh/bin/scp /usr/bin/scp
# ln -s /usr/local/ssh/bin/sftp /usr/bin/sftp
# ln -s /usr/local/ssh/bin/ssh-add /usr/bin/ssh-add
# ln -s /usr/local/ssh/bin/ssh-agent /usr/bin/ssh-agent
# ln -s /usr/local/ssh/bin/ssh-keygen /usr/bin/ssh-keygen
# ln -s /usr/local/ssh/bin/ssh-keyscan /usr/bin/ssh-keyscan
# ln -s /usr/local/ssh/sbin/sshd /usr/sbin/sshd
#配置允許root遠端使用ssh登入(建議使用普通賬號作為遠端運維登入使用,不要開啟root遠端登入)
# vi /etc/ssh/sshd_config
去除「#permitrootlogin prohibit-password」中注釋,並修改「prohibit-password」為「yes」,最後儲存退出;
# service sshd start
如果出錯按照提示操作
# ssh -v
安全等保漏洞修復之OpenSSH漏洞修復
先看下ssh的版本,ssh v 我們公司用的模版是centos6.6的,版本是openssh 5.3p1 openssh 5.3p1,openssl 1.0.1e fips 11 feb 2013 測評的公司給我們掃出5個高危,9個中危 公升級到 openssh 7.7p1後,只有1個中危了 rpm...
漏洞修復 centOS公升級openssh到8 0
近期在伺服器安全掃瞄發現一大堆漏洞,上百臺伺服器的漏洞都差不多,主要是關於openssh的。漏洞有很多,掃瞄系統給出的解決辦法是打各種補丁,但通過了解到,將openssh直接公升級基本可以解決所有漏洞問題,一勞永逸。現將7.4版本的openssh公升級到8.0版本。安裝telnet 得先安裝teln...
Centos下的Openssh漏洞修復(指令碼)
通過主機掃瞄發現系統存在openssh漏洞,具體漏洞如下 openssh sshd 安全漏洞 cve 2015 8325 openssh 拒絕服務漏洞 cve 2016 0778 openssh sshd 許可權許可和訪問控制漏洞 cve 2015 5600 openssh 遠端 執行漏洞 cve ...