公司的旧版直播服务器使用的是CentOS 6.7,很多软件包都是几年前的了。最近很多安全相关的新闻充斥着IT圈,先是Intel芯片有重大安全漏洞,后面MacOS爆安全漏洞。所以,对于安全问题还真不能小觑。

接下任务,由于以前做华为核心网的项目,也有过相关的经验,大部分无非就是配置一下,或者升级软件包。经过一上午的折腾,终于完成升级包的制作,Linux就是方便。

升级脚本update.sh内容:

#!/bin/bash

#stop ntp

service ntpd stop

chkconfig --list ntpd

chkconfig ntpd off

#openssl-flip

sudo tar xzvf openssl-fips-2.0.16.tar.gz

cd openssl-fips-2.0.16

sudo ./config

sudo make

sudo make install

cd ..

#ssl

sudo tar xzvf openssl-1.0.2n.tar.gz

cd openssl-1.0.2n

sudo ./config fips --shared

sudo make

sudo make install

sudo mv /usr/bin/openssl /usr/bin/openssl.OFF

sudo mv /usr/include/openssl /usr/include/openssl.OFF

sudo ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

sudo ln -s /usr/local/ssl/include/openssl /usr/include/openssl

sudo echo "/usr/local/ssl/lib" >>/etc/ld.so.conf

sudo /sbin/ldconfig -v

sudo openssl version -a

cd ..

#ssh

sudo tar xzvf openssh-7.6p1.tar.gz

cd openssh-7.6p1

sudo ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-zlib --with-ssl-dir=/usr/local/ssl --with-md5-passwords --mandir=/usr/share/man

sudo make

sudo make install

sudo sed -i 's/#Protocol 2,1/Protocol 2,1/g' /etc/ssh/sshd_config

sudo sed -i 's/PasswordAuthentication no/PasswordAuthentication yes/g' /etc/ssh/sshd_config

sudo sed -i 's/#PermitRootLogin yes/PermitRootLogin yes/g' /etc/ssh/sshd_config

sudo sed -i 's/#StrictModes yes/StrictModes yes/g' /etc/ssh/sshd_config

sudo service sshd restart

cd ..

#vsftp

#安装libcap依赖包

rpm -ivh libcap-devel-2.16-5.5.el6.x86_64.rpm

#此处卸载ftp的地方先看下原来装系统默认安装的是什么版本,使用rpm -qa vsftp可以查看安装包名称

rpm -e vsftpd-2.2.2-14.el6.x86_64

tar -xzf vsftpd-3.0.3.tar.tar

cd vsftpd-3.0.3

sudo make

sudo make install

cd ..

#如果要保留之前的配置文件,请先备份/etc/vsftp相关的配置

#新版的安装包对安全做了一些配置,所以要先修改配置文件,安装时直接拷贝到/etc/目录下

#具体配置见安装包

\cp -R vsftpd/ /etc/

\cp -rf xinetd.d/vsftpd /etc/xinetd.d/

\cp -rf init.d/vsftpd /etc/init.d/vsftpd

sudo chkconfig vsftpd on

service vsftpd restart

sudo chkconfig --list vsftpd

sudo echo "update success!"

作为服务的启动停止脚本文件/etc/init.d/sftpd

#!/bin/bash

#

# vsftpd      This Shell script takes care of starting and stopping

#             standalone vsftpd.

#

# chkconfig: - 60 50

# description: Vsftpd is a ftp daemon, which is the program

#              that answers incoming ftp service requests.

# processname: vsftpd

# config: /etc/vsftpd.conf

# Source function library.

. /etc/rc.d/init.d/functions

# Source networking configuration.

. /etc/sysconfig/network

# Check that networking is up.

[ ${NETWORKING} = "no" ] && exit 0

[ -x /usr/local/sbin/vsftpd ] || exit 0

RETVAL=0

prog="vsftpd"

start() {

        # Start daemons.

        if [ -d /etc ] ; then

                for i in `ls /etc/vsftpd/vsftpd.conf`; do

                        site=`basename $i .conf`

                        echo -n $"Starting $prog for $site: "

                        /usr/local/sbin/vsftpd $i &

                        RETVAL=$?

                        [ $RETVAL -eq 0 ] && {

                           touch /var/lock/subsys/$prog

                           success $"$prog $site"

                        }

                        echo

                done

        else

                RETVAL=1

        fi

        return $RETVAL

}

stop() {

        # Stop daemons.

        echo -n $"Shutting down $prog: "

        killproc $prog

        RETVAL=$?

        echo

        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/$prog

        return $RETVAL

}

# See how we were called.

case "$1" in

  start)

        start

        ;;

  stop)

        stop

        ;;

  restart|reload)

        stop

        start

        RETVAL=$?

        ;;

  condrestart)

        if [ -f /var/lock/subsys/$prog ]; then

            stop

            start

            RETVAL=$?

        fi

        ;;

  status)

        status $prog

        RETVAL=$?

        ;;

  *)

        echo $"Usage: $0 {start|stop|restart|condrestart|status}"

        exit 1

esac

exit $RETVAL

vsftp.conf配置文件修改:

pam_service_name=vsftpd

userlist_enable=YES

#此处需要指定user_list的路径

userlist_file=/etc/vsftpd/user_list

#如果没有启用则改成NO

tcp_wrappers=NO

userlist_deny=NO

chroot_local_user=YES

#如果FTP根目录有读写权限,需要修改为YES

allow_writeable_chroot=YES

另外vsftp还有很多安全相关的没有配置,有时间再慢慢研究

升级包下载地址:https://pan.baidu.com/s/1pMjjZLL

[服务器安全]升级OpenSSH,OpenSSL,vsftp,关闭NTP服务的更多相关文章

  1. centos7.6 升级openssh openssl

    centos7.3和centos7.6升级完毕测试登录ssh以及重启后登录ssh均无问题. 前期请自行配置好yum源(如果不会请百度) 整个过程不需要卸载原先的openssl包和openssh的rpm ...

  2. CentOS 7升级OpenSSH

    目录 下载openssh安装包 安装telnet 卸载旧的openssh 安装依赖 安装openssh 重启验证 关闭telnet服务 参考 下载openssh安装包 下载地址 wget https: ...

  3. centos6.3 配置NTP服务

    NTP简介: NTP(Network Time Protocol)是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源做同步化,它可以提供高精准度的时间校正.本例讲解如何在CentOS ...

  4. 末学者笔记--NTP服务和DNS服务

    NTP时间服务器 一.概念: 作用:ntp主要是用于对计算机的时间同步管理操作. 时间是对服务器来说是很重要的,一般很多网站都需要读取服务器时间来记录相关信息,如果时间不准,则可能造成很大的影响. 二 ...

  5. CentOS 6.9 升级OpenSSH版本 关闭ssh服务后门

    最近用低版本的OpenSSH(5.9p1版本) 的漏洞给系统留了个后门 , 可以劫持root密码或者给root开启后门密码 : 利用Openssh后门 劫持root密码 如果公司还在用CentOS6的 ...

  6. 升级OPENSSH 和 OPENSSL

    升级OPENSSH 和 OPENSSL   首先安装telnet服务,防止在操作过程中导致ssh远程中断   # 安装Telnetyum install telnet-server -y chkcon ...

  7. openssh/openssl升级到7.4和1.0.2j 源码方式

    #!/bin/bashtar -xvf openssh-7.4p1.tar.gztar -xvf openssl-1.0.2j.tar.gz 升级 openssl 到1.0.2jcd openssl- ...

  8. 升级openssh基于openssl

    OpenSSH is the premier connectivity tool for remote login with the SSH protocol. It encrypts all tra ...

  9. redhat6.4升级openssh至6.7

    1:简介 最近浙江电信对线上服务器进行漏洞扫描,暴露出原有的openssh有漏洞,建议升级openssh版本: 2:操作环境 Red Hat Enterprise Linux Server relea ...

随机推荐

  1. 转:Google Project Zero挖洞经验整理

    https://www.sec-un.org/google-project-zero%E6%8C%96%E6%B4%9E%E7%BB%8F%E9%AA%8C%E6%95%B4%E7%90%86/ 1. ...

  2. msysgit: Unicode font warning

    Warning:your console font probably does not support unicode , if you experience  strange characters ...

  3. 抽丝剥茧:理解Android权限机制

    前一段时间面试官问我Android在Linux的基础上,权限做了哪些改变.霹雳呱啦说了一堆,但是说着说着,始终感觉自己说的缺了点东西,自己理解还是不够到位,而且网上的很多文章在原理上基本都是大同小异, ...

  4. Beaglebone Black教程项目1闪烁板载LED

    Beaglebone Black教程项目1闪烁板载LED 项目1闪烁板载LED 当设置完你的Beaglebone Black的时候,可能早就非常期待你的第一个项目了.下面就来满足大家的愿望,当然,这个 ...

  5. [BZOJ4013][HNOI2015]实验比较(树形DP)

    4013: [HNOI2015]实验比较 Time Limit: 5 Sec  Memory Limit: 512 MBSubmit: 756  Solved: 394[Submit][Status] ...

  6. AGC 026 C - String Coloring

    题面在这里! 比较简单的折半搜索,推一下hash函数,要求正反最后相等就行了. #include<bits/stdc++.h> #define ll unsigned long long ...

  7. Xcode 6.4项目中的常见文件(info.plist)

    Xcode 6.4项目中的常见文件(info.plist) 代码中获取 info.plist[NSBundle mainBundle] infoDictionary]; Bundle display ...

  8. nginx 域名跳转 Nginx跳转自动到带www域名规则配置、nginx多域名向主域名跳转

    nginx 域名跳转 Nginx跳转自动到www域名规则配置,如果设置使 mgcrazy.com域名在用户访问的时候自动跳转到 www.mgcrazy.com呢?在网上找了好多资料都没有一个完整能解决 ...

  9. 将HTML元素转换成图片供用户下载(html2canvas + canvas2Image)

    这是项目中遇到的一个问题,起初觉得把一个html元素生成图片,提供给用户下载的需求挺容易实现的,毕竟看过一些截图的插件,但是在真正操作中遇到了各种各样的问题,比如移动端上截图显示不清晰,html元素中 ...

  10. file结构体中private_data指针的疑惑

    转:http://www.360doc.com/content/12/0506/19/1299815_209093142.shtml hi all and barry, 最近在学习字符设备驱动,不太明 ...