linuxsshyum升级_安全加固浅谈OpenSSH版本升级

近期&＃xff0c;接到安全加固任务&＃xff0c;要对目标主机漏洞--OpenSSH用户枚举漏洞(CVE-2018-15919)进行修复。经查找相关资料&＃xff0c;该漏洞影响OpenSSH 7.8及之前版本&＃xff0c;于是决定将openssh升级到最新版本。

OpenSSH官网显示&＃xff0c;最新版本为7.9。

为保证OpenSSH升级不影响系统稳定运行&＃xff0c;故先在本地搭建测试环境如下&＃xff1a;

操作系统&＃xff1a;centOS 7.3

OpenSSH&＃xff1a;6.6.1p1

OpenSSL&＃xff1a;1.0.1e

有消息称, OpenSSH7.9不支持OpenSSH1.1.x以上,本人有点调皮&＃xff0c;不信这个邪&＃xff0c;决定仍将Openssl升级至1.1.1。

话不多说&＃xff0c;接下来为各位简述升级过程。

一.   先升级OpenSSL至最新版本1.1.1b

1、安装OpenSSL升级所需的包&＃xff1a;gccgcc-c&＃43;&＃43; zlib zlib-devel

使用yum直接安装&＃xff1a;yum install gcc gcc-c&＃43;&＃43; zlibzlib-devel -y

竟然报错&＃xff1a;

万能的度娘提示&＃xff1a;yum的意义在于能很自动化的安装软件&＃xff0c;这样的安装自然也有限制&＃xff0c;也就是同时只能安装yum方式安装一个软件&＃xff0c;所以yum也只能有一个进程。额……这个情况可能会是自动更新的时候安装软件导致冲突&＃xff0c;可以取消自动更新或者重新启动&＃xff0c;或者使用kill -9 36603(36603 为上图中yum报错信息里面的进程号)解决。

2、下载OpenSSL最新安装包&＃xff1a;openssl-1.1.1b.tar.gz。目前最新版本的OpenSSL下载地址为:http://www.openssl.org/source/openssl-1.1.1b.tar.gz(也可直接使用wget下载&＃xff0c;前提是服务器可直接访问到互联网)。

3、将下载的文件上传至服务器并解压&＃xff1a;tar -zxvf openssl-1.1.1b.tar.gz

此处也可以使用-C命令将文件解压到制定目录(如解压到/usr/local/目录下)&＃xff1a;tar zxvfopenssl-1.1.1b.tar.gz -C /usr/local/

4、进入解压后的文件openssl-1.1.1b&＃xff1a;cd openssl-1.1.1b/

5、开始安装&＃xff1a;设定Openssl 安装&＃xff0c;( --prefix )参数为欲安装的目录&＃xff0c;也就是安装后的档案会出现在该目录下。

执行命令&＃xff1a; ./config--prefix&＃61;/usr/local/openssl

出现以下信息表示ok,可继续下一步&＃xff1a;

6、开始编译&＃xff1a;make&&makeinstall

7、将新编译的openssllibrary 加入系统动态库链接中

echo /usr/local/openssl/lib >> /etc/ld.so.conf

ldconfig -v

8、备份和移除旧的openssl

mv /usr/bin/openssl /tmp/openssl_old  

rm -rf /usr/include/openssl

9、对新openssl建立软连接

ln -s /usr/local/openssl/bin/openssl/ /usr/bin/openssl

ln -s /usr/local/openssl/include/openssl/ /usr/include/openssl

ldd /usr/local/openssl/bin/openssl

10、查看版本:opensslversion -a

二.   升级OpenSSH至最新版本

1、在升级OpenSSH之前&＃xff0c;需要为服务器开启telnet功能&＃xff0c;防止服务器升级OpenSSH过程中断开连接。具体方法如下所示&＃xff1a;

在安装Telnet前先检查系统是否安装了telnet-server和xinetd

rpm -qa telnet-server

rpm -qa xinetd

发现服务器并没有安装telnet-server和xinetd&＃xff0c;安装之前先查找Telnet的安装包

yum list | grep telnet-server

yum list | grep xinetd

执行安装&＃xff0c;安装过程没有截图&＃xff0c;正常情况执行以下命令后会安装成功&＃xff0c;如不确定是否安装成功可以执行上面的命令再确认一下

yum -y install telnet-server.x86_64

yum -y install telnet.x86_64

yum -y install xinetd.x86_64

通常情况下&＃xff0c;能显示上述图片中信息即表示安装成功。

• 配置并启动Telnet&＃xff0c;xinetd和telnet必须设置开机启动&＃xff0c;否则无法启动Telnet服务

systemctl enable xinetd.service

systemctl enable telnet.socket

• 接下来启动服务

systemctl start telnet.socket

systemctl start xinetd

• 为了防止因系统防火墙防护功能导致无法正常运行&＃xff0c;此处我选择关闭系统防火墙功能。也可以在防火墙中添加规则&＃xff0c;此处不再演示该步骤。

查看状态&＃xff1a; systemctl status firewalld

关闭&＃xff1a; systemctl stop firewalld

开机禁用  &＃xff1a;systemctl disable firewalld

• 在Windows终端使用命令telnet&＃43;目标主机IP&＃xff0c;连接目标服务器&＃xff0c;显示如下信息表示连接成功&＃xff1a;

  

注&＃xff1a;telnet默认不允许使用root登录。

顺便提下&＃xff1a;systemd是Linux下的一款系统和服务管理器&＃xff0c;兼容SysV和LSB的启动脚本&＃xff0c;systemd 相关的绝大多数任务都是通过 systemctl 命令管理的&＃xff0c;融合之前service和chkconfig的功能于一体。同时&＃xff0c;在centos7.3默认使用的是firewall作为防火墙&＃xff0c;并非iptables。

2、安装OpenSSH依赖包&＃xff1a;yum install pam pam-devel -y

3、备份sshd文件&＃xff1a;mv /etc/ssh  /etc/ssh_bak

4、卸载旧的openssh

rpm -qa openssh

rpm -e openssh-6.6.1p1-31.el7.x86_64 --nodeps

5、上传最新版本OpenSSH&＃xff0c;解压&＃xff0c;编译安装

解压&＃xff1a;tar -zxfopenssh-7.9p1.tar.gz

cd openssh-7.9p1/

编译&＃xff1a;./configure--prefix&＃61;/usr --sysconfdir&＃61;/etc/ssh --with-ssl-dir&＃61;/usr/local/openssl--without-zlib-version-check --with-md5-passwords --with-pam

安装&＃xff1a;make && make install

安装完成后&＃xff0c;系统可能默认不允许使用root登录&＃xff0c;为方便使用&＃xff0c;修改配置文件/etc/ssh/sshd_config&＃xff1a;将#PermitRootLogin prohibit-password 复制并修改为PermitRootLoginyes。

重启服务&＃xff1a;systemctl restart sshd.service

设置开机自启: systemctlenable sshd.service

Reboot重启系统&＃xff0c;使用ssh -V查看ssh版本信息。

升级成功。

友情提示&＃xff1a;如非必要&＃xff0c;操作完成后请及时关闭telnet服务。