Linux服务器漏洞修复—OpenSSH升级到9.8(CentOS 7.6)

罗曼蒂克笑往事 2024-08-19 11:07:04 阅读 72

离线安装包提取地址

链接:百度网盘 请输入提取码 

提取码:uaio

一:查看版本和下载

1.1所需安装包目录

1.2:查看系统openssh

<code>rpm -qa|grep openssh

1.3:查看版本

ssh  -V

1.4:下载地址

Index of /pub/OpenBSD/OpenSSH/portable/

二:安装telnet

建议安装,如果你升级到一半,VPN突然掉了,或者网络断开,你就连不上xshell了,如果安装了telnet后,就是网络和VPN断开,也可以进行下一步操作

2.1:卸载telnet可不操作

为了避免在生产上安装openSSH失败,安装telnet

检查telnet是否安装

<code>rpm -qa | grep telnet

没有安装,如果安装,请先卸载后重新安装

例如:

关闭telnet服务

systemctl disable xinetd.service

systemctl stop xinetd.service

systemctl disable telnet.socket

systemctl stop telnet.socket

执行卸载

rpm -e --nodeps telnet-0.17-47.el6.x86_64

rpm -e --nodeps telnet-server-0.17-64.el7.x86_64

2.2:上传安装包

统一上传路径 /home/telnet

2.3:安装

注意: 需要先安装xinetd,然后安装telnet客户端,再安装telnet服务端,不然可能会报错

cd  /home/telnet

rpm -ivh xinetd-2.3.14-38.el6.x86_64.rpm

rpm -ivh telnet-0.17-47.el6.x86_64.rpm

rpm -ivh telnet-server-0.17-64.el7.x86_64.rpm

2.4:启动服务

systemctl start telnet.socket

systemctl start xinetd

2.5:设置开机自启

systemctl enable telnet.socket

systemctl enable xinetd.service

2.6:查看telnet服务是否启动

netstat -antupl | grep 23

cat /etc/services | grep -a 'telnet'

2.7:root用户登录测试

开放root用户的权限,编辑以下文件.

vim /etc/pam.d/remote

注释掉这一行

#auth       required     pam_securetty.so

然后关闭centos7防火墙 

停止firewalld、关闭firewalld开机自启

<code>systemctl stop firewalld.service

systemctl disable firewalld.service

三:编译安装gcc

3.1:查看是否安装了gcc

gcc -v

表示需要安装gcc

3.2:强制安装

<code>cd /home/openSSH/gcc/

rpm -ivh *.rpm --nodeps --force

 3.3:查看是否安装成功

<code>gcc -v

四:编译安装(升级openSSL)

4.1:安装devel

查看ssl版本号

openssl version

安装devel文件夹里面必要组件

<code>cd /home/openSSH/devel/

rpm -ivh *.rpm --nodeps --force

4.2:解压安装(openssl-3.3.1)

本人升级过程中,不同服务器遇到情况不一,可能有的系统安装3.3.1会报错,建议安装1.1.1版本

解压

cd /home/openSSH

tar -zxvf openssl-3.3.1.tar.gz -C ./

cd /home/openSSH/openssl-openssl-3.3.1

./config shared && make && make install

检测是否编译正确

echo $?

查看下最后的make install是否有报错,0表示没有问题

 备份后做软链接

先进行备份、添加软链接

<code>##根据需要安装的是3.3.1版本

cd /home/openSSH/openssl-openssl-3.3.1

ll /usr/bin/openssl

mv /usr/bin/openssl /usr/bin/openssl_bak

ln -s /usr/local/bin/openssl /usr/bin/openssl

ll /usr/bin/openssl

加载新配置

<code>cd /home/openSSH/openssl-openssl-3.3.1

##如果之前升级过openssl,则下面操作建议用vim打开删除之前添加的配置

echo "/usr/local/lib64" >> /etc/ld.so.conf

/sbin/ldconfig

4.3:解压安装(openssl-1.1.1v)

注意:如果执行./config shared报错提示perl,则建议直接将openssl版本降至最低要求1.1.1

openssl-openssl-3.3.1]# ./config shared

Can't locate Params/Check.pm in @INC (@INC contains: /home/openSSH/openssl-openssl-3.3.1/util/perl /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5 . /home/openSSH/openssl-openssl-3.3.1/external/perl/Text-Template-1.56/lib) at ...

cd /home/openSSH/

tar -zxvf openssl-OpenSSL_1_1_1v.tar.gz -C ./

cd openssl-OpenSSL_1_1_1v/

./config --prefix=/opt/openssl

make

make install

echo $?

添加软链接

<code>ll /usr/bin/openssl

mv /usr/bin/openssl /usr/bin/openssl_bak

ln -s /opt/openssl/bin/openssl /usr/bin/openssl

 如果在建立映射文件过程中出现文件存在,直接删除、覆盖即可

如果之前升级过openssl,则下面操作建议用vim打开删除之前添加的配置 

<code>echo "/opt/openssl/lib" >> /etc/ld.so.conf

ldconfig --verbose

4.4:验证

1:验证

<code>openssl version

五:编译安装openSSH

5.1:解压、编译

<code>cd /home/openSSH/

tar -zxvf openssh-9.8p1.tar.gz -C ./

cd ./openssh-9.8p1/

安装ssl-1.1.1版本的 

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/opt/openssl/include/openssl --with-ssl-dir=/opt/openssl --with-zlib --with-md5-passwords --with-pam && make && make install

安装ssl-3.3.1版本的(如果编译报错,"--with-ssl-dir"路径参数需要微调)

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/include/openssl --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords --with-pam && make && make install

编译过程中可能会出现报错,基本是ssl头文件路径配置问题

修改路径为:

--with-openssl-includes=/opt/openssl/include/openssl

或者添加" --without-openssl-header-check"

./configure --without-openssl-header-check --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/opt/openssl/include/openssl --with-ssl-dir=/opt/openssl   --with-zlib --with-md5-passwords --with-pam && make && make install

 

 查看是否安装成功

<code>echo $?

授予权限(如果不授权,会启动ssh失败)##授予文件可写的权限

<code>chmod 600 /etc/ssh/ssh_host_rsa_key

chmod 600 /etc/ssh/ssh_host_ecdsa_key

chmod 600 /etc/ssh/ssh_host_ed25519_key

授予权限后,再次编译安装

此处需要配置sshd_config,见下文

六:编译安装openSSH和配置

6.1:配置root用户登录

<code>vim /etc/ssh/sshd_config

取消注释#PermitRootLogin yes,给root登录放行

6.2:开机自启,服务启动

下面的文件根据启动需要看是否拷贝,如果启动报sshd:未识别的服务,就需要拷贝下列文件

1:拷贝目录

<code>cd /home/openSSH/openssh-9.8p1/

cp -a contrib/redhat/sshd.init /etc/init.d/sshd

cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam

chmod +x /etc/init.d/sshd

把原先的systemd管理的sshd文件删除或者移走或者删除,不移走的话影响我们重启sshd服务(如果没有就算了)

mv /usr/lib/systemd/system/sshd.service /home/

2:开机自启

chkconfig sshd on

3:加入系统服务

chkconfig --add sshd

systemctl enable sshd

七:启动服务测试

7.1:启停服务,查看端口

1:停止ssh服务

<code>/etc/init.d/sshd stop

2:查看端口

netstat -lntp

3:运行 sudo /usr/sbin/sshd -t -f /etc/ssh/sshd_config 检查配置是否正确,如果没有错误提示,就可以正常启动 SSH 服务了

sudo /usr/sbin/sshd -t -f /etc/ssh/sshd_config

提示哪个参数不支持,就把该参数注释掉

4:启动ssh服务

<code>/etc/init.d/sshd start

5:再次查看端口是否开启

netstat -lntp

6:重启ssh服务

/etc/init.d/sshd restart

7.2:查看版本

<code>ssh -V

7.3:恢复防火墙配置,重启系统

开启firewalld、开启firewalld开机自启

<code>systemctl start firewalld.service

systemctl enable firewalld.service

重启系统 

reboot

重启后再连接,验证是否升级成功



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。