openssh版本低漏洞更新至最新版本（适合7以下的）

openssh版本低漏洞

若是依赖 zlib、fips、openssl包与本文档版本一致则不需要更新，只需更新OpenSSH

• OpenSSH 安全限制绕过漏洞(CVE-2016-10012)
• OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
• OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515)
• OpenSSH 远程代码执行漏洞(CVE-2016-10009)
• OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325)
• OpenSSH 安全漏洞(CVE-2016-1908)
• OpenSSH 'schnorr.c’远程内存破坏漏洞(CVE-2014-1692)
• Openssh MaxAuthTries限制绕过漏洞(CVE-2015-5600)
• OpenSSH 'x11_open_helper()'函数安全限制绕过漏洞(CVE-2015-5352)
• OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755)
• OpenSSH默认服务器配置拒绝服务漏洞(CVE-2010-5107)
• OpenSSH <=7.2p1 xauth命令注入漏洞(CVE-2016-3115)
• OpenSSH 远程权限提升漏洞(CVE-2016-10010)
• OpenSSH sshd mm_answer_pam_free_ctx释放后重利用漏洞(CVE-2015-6564)
• Portable OpenSSH 'ssh-keysign’本地未授权访问漏洞

将系统版本openssh升级至较高版本、或最新

• 查看当前openssh版本

rpm -qa openssh
openssh-5.3p1-123.el6_9.x86_64

开始升级

• 安装zlib1.2.11,下载依赖包
  zlib1.2.11下载地址

pwd: /home/admin/openssl
wget http://www.zlib.net/zlib-1.2.11.tar.gz
tar -xf zlib-1.2.11.tar.gz
cd zlib-1.2.11 && ./configure && make && make install

• 查看zlib版本

ll /usr/local/lib
libz.so.1.2.11

• 安装openssl-fips、openssl-1.0.2i
  openssl-fips、openssl-1.0.2i下载地址

wget http://mirrors.ibiblio.org/openssl/source/old/fips/openssl-fips-2.0.12.tar.gz
tar -xf openssl-fips-2.0.12.tar.gz && cd openssl-fips-2.0.12 && ./config && make && make install 
wget http://mirrors.ibiblio.org/openssl/source/old/1.0.2/openssl-1.0.2i.tar.gz
tar -xf openssl-1.0.2i.tar.gz && cd openssl-1.0.2i && ./config && make && make install
cd /usr/local/ssl/bin && ln -sv /usr/local/ssl/bin/openssl /usr/bin/openssl (创建软连接前将当前的openssl备份)
openssl version -a(查看OpenSSL版本)
OpenSSL 1.0.2i22 Sep 2016

• 下载安装openssh
  openssh官网

pwd:/home/admin/openssl
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.2p1.tar.gz
tar -xf openssh-8.2p1.tar.gz
cd openssh-8.2p1
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd && make && make install

• 安装完成后备份sshd指令

mv /etc/init.d/sshd /etc/init.d/sshd20200506

• 拷贝新的sshd

pwd：/home/admin/openssl/openssh-8.2p1/contrib/redhat
cp sshd.init /etc/init.d/sshd
chmod u+x /etc/init.d/sshd
chkconfig --add sshd

• 拷贝备份文件(拷贝前将现有的配置文件备份)

pwd：/home/admin/openssl/openssh-8.2p1
cp ssh_config /etc/ssh/ssh_config
cp sshd_config /etc/ssh/sshd_config

• 修改配置文件（如禁root、端口等）重启SSH服务，检测其ssh新版本

service sshd restart 或 service ssh restart
ssh -V
OpenSSH_8.2p1, OpenSSL 1.0.1e-fips 11 Feb 2013

• windows的cmd远程telnet，查看ssh版本是否后变化

telnet 192.168.0.1 22