Linux环境下openssh升级
因客户漏扫扫描出来openssh及openssl存在漏洞,现升级为官方最新版
OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具
是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。sshd是
其中的一个独立守护进程。OpenSSH 7.2p2及之前版本的sshd中的session.c文件中的‘do_setup_env’函数存在安全漏洞。
当程序启用UseLogin功能并且PAM被配置成读取用户主目录中的.pam_environment文件时,本地攻击者可借助/bin/login
程序的特制的环境变量利用该漏洞获取权限;sshd中的session.c文件中存在CRLF注入漏洞。远程攻击者可借助特制的
X11转发数据利用该漏洞绕过既定的shell-command限制。
准备: 因为是线上环境,避免升级出现错误导致ssh服务挂掉,会导致一系列的麻烦事,所以提前安装telnet服务
apt-get install openbsd-inetd telnetd telnet
/etc/init.d/openbsd-inetd restart # 启动服务
netstat -anpt|grep 23 # 查看telnet服务的默认端口是否启动
telnet ip # 测试是否成功登陆
我选择源码编译,下载安装包并上传
- openssl-1.0.2o.tar.gz # 官方下载地址: https://www.openssl.org/source/
- openssh-7.7p1.tar.gz # 官方下载地址: https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
- zlib-1.2.11.tar.gz # 官方下载地址: http://www.zlib.net/
1.安装zlib
tar xf zlib-1.2.11.tar.gz
cd zlib-1.2.11
./configure –prefix=/usr/local/zlib
make
make install
———————————报错——————————————-
报错: c_zlib.c:25:19: fatal error: zlib.h: No such file or directory
zlib标准安装指导:
/usr/local/src/zlib-1.2.11
构建静态库
./configure
make test
make install
构建共享库
make clean
./configure –shared
make test
make install
cp zutil.h /usr/local/include
cp zutil.c /usr/local/include
2.升级openssl
tar xf openssl-1.0.2o.tar.gz
cd openssl-1.0.2o
./config shared zlib #一定要加上shared 参数,要不在安装openssh的时候就无法找到
make
make install
备份原来的openssl
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
因为源码安装默认安装的位置是 /usr/local/ssl 需要将创建软链接到系统位置
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
将openssl 的lib 库添加到系统
echo “/usr/local/ssl/lib” > /etc/ld.so.conf.d/openssl.conf
使新添加的lib 被系统找到
ldconfig
查看openssl版本
openssl version -a
至此opensll 已经成功升级到1.0.2o
重点:在这里分享一个遇到的的报错大坑,导致之后安装openssh的时候make install一直报错如下:
OpenSSL version mismatch. Built against 1000105f, you have 10001060
查了百度,google都没有找到解决方案,后来突然看到/etc/ld.so.conf里面是这样写的:
之前添加lib库的命令是这样的: echo “/usr/local/ssl/lib/” >> /etc/ld.so.conf
后来修改为:echo “/usr/local/ssl/lib” > /etc/ld.so.conf.d/openssl.conf
按道理说写到主文件应该也是生效的,不晓得为什么不生效,有待思考,有知道的大佬在下面指教一番,感谢!!!
3.升级openssh
到目前为上发现在的openssh的漏洞都是openssh7.4以前的版本。我们当前升级的是openssh7.7p1
备份原openssh文件
mv /etc/init.d/ssh /etc/init.d/ssh.old
cp -r /etc/ssh /etc/ssh.old
卸载原openssh
apt-get remove openssh-server openssh-client
tar xf openssh-7.7p1.tar.gz
cd openssh-7.7p1
./configure –prefix=/usr –sysconfdir=/etc/ssh –with-md5-passwords –with-pam –with-zlib –with-ssl-dir=/usr/local/ssl –with-privsep-path=/var/lib/sshd #需要指定openssl的安装路径
———————————报错——————————————-
报错 checking whether OpenSSL’s PRNG is internally seeded… yes
configure: error: PAM headers not found
解决:ubuntu: apt-get install libpam0g-dev centos: yum -y install pam-devel
make
make install
———————————报错——————————————————————-
报错: Privilege separation user sshd does not exist
vim /etc/passwd
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序
/etc/passwd文件是Linux/UNIX安全的关键文件之一.该文件用于用户登录时校验 用户的口令,当然应当仅对root可写.
可查看当前SSH的版本。
ssh -V
到目前所有升级就已经完成了
修改默认配置文件
根据之前配置修改,保证配置相同也可使用原来的配置文件
cd /etc/ssh
mv sshd_config sshd_config.default
cp ../ssh.old/sshd_config ./
使用原来的/etc/init.d/ssh
mv /etc/init.d/ssh.old /etc/init.d/ssh
取消注销指定服务
systemctl unmask ssh
重启服务
systemctl restart ssh
更多LaTex的语法请参考[这儿] [3]。### UML图:可以生染序列图:
序列张三 - >李四:嘿,小四儿,写博客了没注意李四的权利:李四愣了一下,说:李四 - >张三:?忙得吐血,哪有时间写“或者流程图:
flow st => start:开始e =>端:结束OP =>操作:我的操作COND =>条件:确认?ST-> OP-> COND COND(是) - >电子COND(无) - >运算