Openssh修复漏洞

现象为：

由于openssh版本过低当用扫描软件检测时会出现以下漏洞：

判断为版本低，需要升级，如果是远程连接的话，可能会连接断开，考虑预案，除ssh连接之外，设置好telnet连接。

---

备用连接：

安装telnet工具，因为升级过程中怕失败或者重启ssh失败。我们直接yun安装即可。

安装telnet，以便连接

yum install telnet-server.x86_64
yum install telnet.x86_64

安装xinetd，telnet的守护

yum list |grep xinetd
yum install xinetd.x86_64

启动服务，最好设置开机自启

systemctl start telnet.socket
systemctl start xinetd

检查telnet是否启动

netstat -lnpt | grep 23
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN      1/systemd  

测试telnet

telnet localhost 
注：这时候，如果可能会一直提示密码不对。

解决方法为：
vi /etc/pam.d/remote
注释掉：auth       required     pam_securetty.so

---

执行脚本更新：

执行以下脚本，如果openssh-7.5p1.tar.gz下载慢需手动下载，放到openssh_update目录然后把wget这一行注释掉。

#!/bin/sh
mkdir openssh_update
cd openssh_update
oldversion=`ssh -V 2>&1`
echo "开始执行 OpenSSH 版本升级脚本"
echo -e "当前OpenSSH版本为: \033[31m $oldversion \033[0m"
echo "下载OpenSSH 7.5p1源代码......"
{
  wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz
  tar -zxf openssh-7.5p1.tar.gz
} &>> install.log
echo "备份原版OpenSSH......"
{
    mv /etc/ssh/ ./ssh.bak
} &>> install.log
echo "安装编译所需依赖，耗时较长，请耐心等待......"
{
    yum -y install gcc zlib-devel openssl-devel
} &>> install.log
echo "配置并编译OpenSSH......"
{
    cd openssh-7.5p1/
    ./configure --prefix=/usr --sysconfdir=/etc/ssh
    make
} &>> install.log
echo "卸载旧版OpenSSH......"
{
    rpm -e --nodeps `rpm -qa | grep openssh`
} &>> install.log
echo "开始安装......"
{
   make install
   chmod 0600 /etc/ssh/ssh_host_rsa_key
  chmod 0600 /etc/ssh/ssh_host_ecdsa_key
  chmod 0600 /etc/ssh/ssh_host_ed25519_key
  make install
} &>> install.log
newversion=`ssh -V 2>&1`
echo "开始执行 OpenSSH 版本升级脚本"
echo -e "安装完成，当前SSH版本为: \033[32m $newversion \033[0m"
echo "配置权限及启动项......"
{
    cp contrib/redhat/sshd.init /etc/init.d/sshd
    chkconfig --add sshd
    sed -i '/#PermitRootLogin prohibit-password/c'"PermitRootLogin yes" /etc/ssh/sshd_config
} &>> install.log
echo "重启SSH服务......"
service sshd restart
echo "升级全部完成"
echo -e "\033[31m 注意！！！为防止升级失败不能登录，请在使用其他客户端确认能正常登录SSH后再关闭本会话窗口！ \033[0m"