Centos7,升级OpenSSH(亲测有效适用于小白)

Never say die984 2024-09-11 08:07:11 阅读 59

项目场景:

OpenSSH 升级, OpenSSH 更新, OpenSSH 漏洞修复

漏洞信息:OpenSSH 命令注入漏洞(CVE-2023-51385)

以及日常运维升级openssh参考。


注意!!!,如果本机未安装telnet

建议打开多个SSH终端连接使用top避免设备断链,并安装telnet服务器,确保在SSH服务器升级异常时,可以通过telnet服务器远程连接,进行紧急问题修复处理。

在升级前一定要备份原有的配置文件,以防出现意外情况。

如是个人学习升级openssh,建议升级前拍摄快照。


问题描述

升级原设备openssh,有利于设备运行安全。

本文章用于修复OpenSSH命令注入漏洞(CVE-2023-51385)

该漏洞影响 Linux、macOS、BSD 以及其他操作系统上 OpenSSH 客户端和服务器实现的所有用户。由于 OpenSSH 是使用最广泛的 SSH 实现之一,因此影响相当广泛。

如果成功利用,该缺陷可能会被用来绕过身份验证并获得对运行易受攻击的 OpenSSH 版本的系统的未经授权的远程访问。攻击者可以发起进一步的攻击、升级权限、窃取数据等等。

升级前准备:

安装所需软件包,以及用于编译和安装从源代码构建的软件

<code>yum install wget gcc openssl-devel pam-devel rpm-build zlib-devel -y

如出现一下内容为以及将所需软件包安装完成,无需再安装

若yum出现bug,后续会编写文章进行解决。


编译安装openssl:

下载编译openssl

<code>#查询openssl版本信息命令

1.openssl version

#查询后显示本版信息为OpenSSL 1.几的版本后可跳过openssl安装

#两个下载连接都可下载,第二条连接禁用 SSL/TLS 证书验证。避免证书过期拉取不到软件包

2.

wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1t.tar.gz

wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1t.tar.gz --no-check-certificate

下载完成后,将软件包解压到以下目录下

3.tar xf openssl-1.1.1t.tar.gz -C /usr/local

#开始编译安装openssl

4.# 进入openssl目录

cd /usr/local/openssl-1.1.1t

# 编译安装openssl

./config shared --prefix=/usr/local/openssl

make -j 4

make install

为openssl创建软连接,

echo "/usr/local/openssl/lib/" >> /etc/ld.so.conf

# 加载配置文件

ldconfig

# 备份以前的openssl

mv /usr/bin/openssl /usr/bin/openssl.old

# 软连接,如果提示软连接已存在,记得备份软连接,然后在执行下面再次软连接,要不然会出问题,会导致root目录看不了,磁盘看不了,sftp连接不上;

ln -sv /usr/local/openssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1

ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

#创建完成后使用

openssl version -a

#进行验证,查看本机ssl是否安装成功

对openssh进行升级操作

查看本机openssh当前安装的软件包,并卸载

[root@localhost ~]# rpm -qa | grep openssh

openssh-clients-7.4p1-21.el7.x86_64

openssh-7.4p1-21.el7.x86_64

openssh-server-7.4p1-21.el7.x86_64

# 查看当前OpenSSH版本(Centos7 默认使用OpenSSH_7.4p1)

[root@localhost ~]# ssh -V

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

# 备份现有的SSH

[root@localhost ~]# mv /etc/ssh/ /etc/ssh.bak

[root@localhost ~]# mv /usr/bin/ssh /usr/bin/ssh.bak

[root@localhost ~]# mv /usr/sbin/sshd /usr/sbin/sshd.bak

# 如果您是第一次升级,备份/etc/init.d/sshd时会不存在,不影响后续操作

[root@localhost ~]# mv /etc/init.d/sshd /etc/init.d/sshd.bak

mv: 无法获取'/etc/init.d/sshd' 的文件状态(stat): No such file or directory

# 卸载现有OpenSSH

rpm -e --nodeps $(rpm -qa |grep openssh)

卸载现有OpenSSH后使用该命令再次查看是否卸载成功

没有内容视为下载完成

rpm -qa | grep openssh

下载编译openssh

wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.6p1.tar.gz

编译安装openssh

# 将下载的openssh安装包移动到/usr/local下

[root@localhost ~]# mv openssh-9.6p1.tar.gz /usr/local/

# 进入/usr/local/目录解压openssh9.3

[root@localhost ~]# cd /usr/local/

[root@localhost local]# tar xf openssh-9.6p1.tar.gz

# 进入openssh目录

[root@localhost local]# cd openssh-9.6p1

# 编译安装

[root@localhost openssh-9.6p1]# CCFLAGS="-I/usr/local/include" \code>

LDFLAGS="-L/usr/local/lib64" \code>

./configure \

--sysconfdir=/etc/ssh \

--with-zlib \

--with-ssl-dir=/usr/local/openssl

[root@localhost openssh-9.6p1]# make -j 4

[root@localhost openssh-9.6p1]# make install

授权该目录权限

chmod 600 /etc/ssh/*

复制配置文件

[root@localhost openssh-9.6p1]# cp -rf /usr/local/sbin/sshd /usr/sbin/sshd

[root@localhost openssh-9.6p1]# cp -rf /usr/local/bin/ssh /usr/bin/ssh

[root@localhost openssh-9.6p1]# cp -rf /usr/local/bin/ssh-keygen /usr/bin/ssh-keygen

[root@localhost openssh-9.6p1]# cp -ar /usr/local/openssh-9.6p1/contrib/redhat/sshd.init /etc/init.d/sshd

[root@localhost openssh-9.6p1]# cp -ar /usr/local/openssh-9.6p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pam

修改配置文件

# 修改配置允许root用户远程登录(允许使用密码登录,允许root远程登录,开启端口,赋予/etc/init.d/sshd权限)

cat >>/etc/ssh/sshd_config<<EOF

PermitRootLogin yes

X11Forwarding yes

PasswordAuthentication yes

KexAlgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,curve25519-sha256@libssh.org

EOF

[root@localhost openssh-9.6p1]# sed -i "s/^#Port/Port/g" /etc/ssh/sshd_config

[root@localhost openssh-9.6p1]# chmod 755 /etc/init.d/sshd

启用sshd,生成服务配置文件,并重启服务

# 启用sshd,生成服务配置文件

[root@localhost openssh-9.6p1]# systemctl enable sshd

sshd.service is not a native service, redirecting to /sbin/chkconfig.

Executing /sbin/chkconfig sshd on

# 重启服务

[root@localhost openssh-9.6p1]# systemctl restart sshd

# 查看服务状态

[root@localhost openssh-9.6p1]# systemctl status sshd

若执行service sshd start时出现以下错误

<code>#执行即可解决

yum install openssh-server

验证是否升级openssh成功

 文章参考A-刘晨阳-CSDN博客

[root@localhost ~]# ssh -V

OpenSSH_9.6p1, OpenSSL 1.1.1t 7 Feb 2023



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。