升级openssl和openssh

最近接收到客户的漏洞提醒,openssl和openssh的漏洞,解决办法就只有升级。

升级前环境

~]# ssh -V

OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

~]# rpm -qa | grep openssl

openssl-1.0.1e-15.el6.x86_64

~]# uname -r

2.6.32-431.el6.x86_64

~]# rpm -qa |grep zlib

zlib-1.2.3-29.el6.x86_64

zlib-devel-1.2.3-29.el6.x86_64

升级前后:

升级前 升级后
Openssl Openssl_1.0.1e-fips openssl-1.0.2j
Openssh Openssh_5.3p1 Openssh-6.9p1

升级前准备

为了防止升级openssh过程中出现问题,ssh连接断开,需要保证连接不能断开,此处使用telnet连接,也可安装别的dropbear等

telnet只允许普通用户登陆

~]# yum install telnet_server telnet -y

~]# vim /etc/xinetd.d/telnet

将disable项由yes改成no

~]# service xinetd restart

重启后即可连接

操作过程

一、安装zlib

源码安装openssh、openssl,为了避免zlib库文件版本过低,同时编译安装zlib库

~]# tar xf zlib-1.2.7.tar.gz

~]# cd zlib-1.2.7

~]# ./configure --shared

...

Checking for return value of vsnprintf()... Yes.

Checking for attribute(visibility) support... Yes.

**Looking for a four-byte integer type... Found.**

//这个是由于zlib并非使用的标准autotools,没有考虑交叉编译的情况,这个错误是执行测试程序导致的,用于检测32bit整型是int还是long还是别的,该错误无关紧要,可以忽略

~]# make && make test

~]# make install

二、安装openssl

由于openssh依赖于openssl库,所以在安装openssh前要先安装openssl库

~]# tar xf openssl-1.0.2j.tar.gz

~]# cd openssl-1.0.2j

~]# ./config shared //默认安装路径(/usr/local/ssl)

~]# make && make test  //测试没报错,继续往下执行

~]# make install

备份及软链接命令:

~]# mv /usr/bin/openssl{,_bak}

~]# mv /usr/include/openssl{,_bak}

~]# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

~]# ln -s /usr/local/ssl/include/openssl /usr/include/openssl

搜索出可共享的动态链接库,进而创建出动态装入程序(ld.so)所需的连接和缓存文件,让刚安装的openssl动态链接库为系统所共享。

~]# sed -i '1 i /usr/local/ssl/lib' /etc/ld.so.conf  //在文件行首添加新安装的openssl

~]# ldconfig //加载

查看版本:

~]# openssl version -a

**OpenSSL 1.0.2j  26 Sep 2016**

built on: reproducible build, date unspecified

platform: linux-x86_64

options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)

compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM

OPENSSLDIR: "/usr/local/ssl"

三、安装openssh

更新openssh前,为了防止ssh连接断开,最好先telnet进服务器,防止意外发生

~]# mkdir /usr/local/myssh/ssh -p  //安装在自己新建的目录里

~]# tar xf openssh-7.4p1.tar.gz

~]# cd openssh-7.4p1

~]# ./configure --prefix=/usr/local/myssh --sysconfdir=/usr/local/myssh/ssh --with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/myempty --with-privsep-user=sshd --with-zlib --with-ssl-engine --with-md5-passwords --disable-etc-default-login

~]# make && make install

备份及软链接命令:

~]# mv /etc/init.d/sshd{,_bak}

~]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd   //拷贝启动脚本

~]# chmod u+x /etc/init.d/sshd

~]# mv /usr/sbin/sshd{,_bak}

~]# ln -s /usr/local/myssh/sbin/sshd /usr/sbin/sshd //sshd命令

~]# mv /usr/bin/ssh-keygen{,_bak}

~]# ln -s /usr/local/myssh/bin/ssh-keygen /usr/bin/ssh-keygen //老的ssh-keygen默认没有-A参数,如果不链接,就会有提示信息“ssh-keygen: illegal option -- A”

~]# mv /usr/bin/ssh{,_bak}

~]# mv /usr/local/myssh/

查看版本:

~]# ssh -V

OpenSSH_7.4p1, OpenSSL 1.0.2j  26 Sep 2016
修改配置文件,并检验升级是否成功
~]# vim /usr/local/myssh/ssh/sshd_config

修改如下配置项:

  • PermitRootLogin yes //允许root用户登陆

升级openssh漏洞的更多相关文章

  1. Centos 6.5升级openssh漏洞

    CentOS 6.5下openssh升级 在有的企业中每年都会安全扫描,因为实现远程连接比较重要,如果openssh版本过低,就要对其升级,本文主要讲述openssh升级的步骤. openssh升级主 ...

  2. redhat6.4升级openssh至6.7

    1:简介 最近浙江电信对线上服务器进行漏洞扫描,暴露出原有的openssh有漏洞,建议升级openssh版本: 2:操作环境 Red Hat Enterprise Linux Server relea ...

  3. CentOS 6.9 升级OpenSSH版本 关闭ssh服务后门

    最近用低版本的OpenSSH(5.9p1版本) 的漏洞给系统留了个后门 , 可以劫持root密码或者给root开启后门密码 : 利用Openssh后门 劫持root密码 如果公司还在用CentOS6的 ...

  4. linux升级openssh到7.9

    客户linux主机ssh存在高危漏洞,需要进行升级修复. linux联网后,直接命令行: [root@gw ~]# yum update openssl -y 此命令只是小版本的升级,比如将opens ...

  5. centos升级openssh版本

    似乎升级就是简单的安装ssh包就行了,没进行其他修改,虚拟机24个中高低漏洞解决 安装最新包: 1.下载:https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/por ...

  6. CentOS 升级 openSSH

    openSSH作为linux远程连接工具,容易受到攻击,必须更新版本来解决,低版本有如下等漏洞: a. OpenSSH 远程代码执行漏洞(CVE-2016-10009) b.  OpenSSH aut ...

  7. 升级openssh踩得坑

    升级背景: 项目中使用的系统为CentOS6.8,经过漏洞扫描后发现openssh高危漏洞,具体描述如下:OpenSSH 7.2p2之前版本, sshd/ session.c/ do_setup_en ...

  8. centos6升级openssh至7.9

    1.为了防止升级失败登陆不了,所以需要安装telnet mkdir /root/ssh_updateyum install -y telnet-serveryum install -y xinetd ...

  9. 解决服务器openssh漏洞

    解决服务器openssh漏洞 发表于 2019 年 11 月 27 日   1. 检查升级 下载7.4p1 ,链接如下 http://www.openssh.com/portable.html 2.安 ...

随机推荐

  1. Numa 常用命令

    1. 查看numa相关信息,包括每个node内存大小,每个node中的逻辑cpu: numactl --hardware

  2. 【SpringBoot】SpringBoot与SpringMVC自动配置(五)

    本文介绍SpringBoot对Spring MVC自动配置,SpringBoot自动配置原理可以参考:[SpringBoot]SpringBoot配置与单元测试(二) 首先新建一个SpringBoot ...

  3. Ubuntu16.04安装Supervisor

    安装 sudo apt-get install supervisor 启动,否则会报 unix:///tmp/supervisor.sock no such file service supervis ...

  4. shell基础知识6-在不按回车键的情况下读入N个字符

    Bash命令 read 能够从键盘或标准输入中读取文本.我们可以使用 read 以交互的形式读取用 户输入,不过 read 能做的可远不止这些.编程语言的大多数输入库都是从键盘读取输入,当回 车键按下 ...

  5. 将.cer证书导入java密钥库?

    导入.cer从浏览器下载的证书文件(打开网址并挖掘详细信息)到cacerts keystore中java_home\jre\lib\security为我工作,而不是尝试生成和使用我自己的密钥库. 去你 ...

  6. Windows SVN迁移到Linux 服务器

    一.备份VisualSVN项目 1. 现在要使用Linux作为svn服务器,之前是在windows Server 2008上的,用的是VisualSVN, 如下图所示. 2. 现在svn中有一个项目f ...

  7. c#.net EF DB FIRST 添加新的模型

    双击.edmx ,右键-从数据库更新模型,在“添加”里选择新表.

  8. 关于UiAutomator无法识别的元素

    1.关于没有name,没有ID的元素的定位---通用篇解题思路:因为没有name,id:其实剩下的选择已不多,要么xpath,要么className.xpath木有好印象(稳定性不高,加之1.0x后需 ...

  9. html5传感器

    html5传感器(注意苹果和安卓方向是相反的 回调函数触发的速度苹果要快很多 设置坐标不要设置在回调函数里)以下是代码<pre><!DOCTYPE html><html ...

  10. 工厂方法(FactoryMethod)模式

    之前说了简单工厂设计模式如果增加一个新的运算的时候需要:增加一个具体的实现类,工厂类中增加一个case分支.也就是说我们不但对扩展开发了,也对修改开放了,违背了开闭原则.当然如果工厂类采用反射的话不存 ...