Ryan

CentOS7升级OpenSSH
6月安全风波导致公司网管疯了,所有扫到漏洞的虚拟机都要打补丁,不打补丁就不允许访问。。。升级前的准备工作SSH升级...
扫描右侧二维码阅读全文
22
2019/07

CentOS7升级OpenSSH

6月安全风波导致公司网管疯了,所有扫到漏洞的虚拟机都要打补丁,不打补丁就不允许访问。。。

升级前的准备工作

SSH升级过程中会导致SSH链接断开,所以需要接显示器操作或者开启Telnet才行。
而升级SSL过程中可能会导致错误,需要做好备份。

开启服务器telnet

1、安装telnet客户端和服务器
检查是否安装了telnet客户端和服务器

# rpm -qa|grep telnet
#

如上说明没有安装telnet客户端和服务器软件,运行以下命令进行安装

安装客户端:# yum install telnet
安装服务器:# yum install telnet-server

2、启动telnet服务
telnet服务默认情况下是关闭的,需要手工启动

# systemctl start telnet.socket
# systemctl enable telnet.socket

3、新建普通用户用于telnet登录
CentOS默认禁止root用户通过telnet登录,而且开放root登录非常危险,所以直接新建一个普通用户登录即可。
要是想用root登录,请看:

备份

从这开始使用telnet登录服务器操作

备份OpenSSL

# mkdir -p /root/usr/openssl
# mkdir -p /root/usr/include/
# cp /usr/bin/openssl /root/usr/openssl
# cp -r /usr/include/openssl /root/usr/include/openssl

备份OpenSSH

# systemctl stop sshd
# mv /etc/ssh /etc/ssh_old

下载新版本程序

1、OpenSSL下载地址

https://www.openssl.org/source/

2、OpenSSH 下载地址

https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

3、本次更新时选择的版本为OpenSSL1.02n和OpenSSH7.6p1

升级OpenSSL

1、CentOS7自带的openssl版本比较新,无需更新,不过如果是检查出漏洞就升级一下咯

# openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017

2、把库文件装上就行了

# yum install openssl-devel

升级OpenSSH

1、检查ssh是否已经停止

# systemctl is-active sshd
inactive

2、升级前版本

# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

3、解压源码包

# tar xvf openssh-8.0p1.tar.gz

4、编译OpenSSH

# cd openssh-8.0p1
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check --with-openssl-includes=/usr/ --with-md5-passwords --mandir=/usr/share/man
# make
# make isntall

5、修改OpenSSH启动文件

# vi /usr/lib/systemd/system/sshd.service

type=notify改为type=simple
6、启动SSH服务

# systemctl daemon-reload
# systemctl start sshd

7、升级后版本信息

# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2k-fips  26 Jan 2017

问题处理

1、You need Perl 5

Operating system: x86_64-whatever-linux2
You need Perl 5.

解决办法:

# yum install perl

2、make[1]: gcc: Command not found
解决办法:

yum install gcc automake autoconf libtool make

3 、configure: error: zlib.h missing - please install first or check config.log
解决办法:

# yum install zlib-devel
搬瓦工年付$187机房套餐补货了,电信联通优化,512M内存/500G流量/1G带宽,建站稳定,优惠码:BWH1ZBPVK,【点击购买】!
搬瓦工年付$28CN2高速线路,512M内存/500G流量/1G带宽,电信联通优化,延迟低,速度快,建站稳定,优惠码同上,【点击购买】!
Last modification:July 22nd, 2019 at 04:30 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment

3 comments

  1. 能不能说下是什么漏洞怎么检查

    1. Ryan
      @奶爸建网站笔记

      从安全厂家买的漏洞扫描套件扫的,Github上也有开源的漏扫的,可能知识数据库更新不是那么及时

  2. 青藤联盟

    【感谢博主平台传播,助力草根变现】2019新模式:正规联盟,月结算,无复杂申请步骤,量大收益大,可跨域!!!一条代码全部部署,一键式流量变现!!!日ip3000月万5左右,有量的滴滴