安全漏洞修复一：Ubuntu 升级 Openssl Openssh

扫描测试服务器漏洞时，发现几个openssh的漏洞，准备把openssh和openssl的版本都升级到最新版。升级前建议使用telnet进行升级，防止期间出现问题连不上服务器

安装Openssl

1.首先安装telnet服务，防止升级失败连接不上服务器

sudo apt-get install openbsd-inetd
sudo apt-get install telnetd
sudo /etc/init.d/openbsd-inetd restart

查看 telnet服务是否开启

sudo netstat -a | grep telnet

测试

telnet ip + port

2.查看服务器升级的版本

openssl version
ssh -V

3.下载openssl和openssh的指定版本包

openssl官网地址：https://www.openssl.org/source/
openssh官网地址：https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

下载openssl版本

 wget  https://www.openssl.org/source/openssl-1.1.1k.tar.gz

4.安装gcc依赖包，升级openssl

apt-get -y install gcc make
tar -zxvf openssl-1.1.1k.tar.gz
cd openssl-1.1.1k/

备份原来的openssl

mv /usr/bin/openssl /usr/bin/openssl.bak

安装 openssl

./config make && make install
 ln -s /usr/local/bin/openssl /usr/bin/openssl
ldconfig 

检查版本是否升级成功

openssl version

安装Openssh

1.下载要升级的版本

wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.5p1.tar.gz

2.修改ssh配置文件

vim /etc/ssh/sshd_config

取消下面配置的注释

# PermitRootLogin yes 

重启服务

systemctl restart sshd

3.备份启动脚本以及配置文件

cp /etc/init.d/ssh /etc/init.d/ssh.old
cp -r /etc/ssh /etc/ssh.old

4.卸载原openssh

apt-get remove openssh-client openssh-server

5.安装依赖包

apt-get install zlib1g.dev libssl-dev libpam0g-dev openssh-server

6安装openssh

解压并进入版本目录

tar -zxvf openssh-8.5p1.tar.gz
cd openssh-8.5p1/

安装

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-privsep-path=/var/lib/sshd 

make 

make install

7重启服务，查看版本

systemctl restart sshd
ssh -V