ssh漏洞修复：openssh升级及降级

Posted 2023-03-20

参考技术A ssh  -V查看当前版本

在这里使用脚本升级（前提：你的网络是可以连接外网的）

yum  -y  install gcc

写个update.sh的文件，直接bash搞起

ssh -V查看版本有没有升级

说明：

1.卸载openssh，命令就是这个yum  -y  remove  openssh-当前版本（8.5p）

2.yum库指向本地的源

3.重新安装openssh，yum  -y  install  openssh，openssh-server openssh-clients（这三个包）

4.启动这个服务systemctl    restart  sshd

5.执行上面的脚本更新版本

6.重新启动这个服务systemctl    restart  sshd

7.修改配置文件/etc/ssh/sshd_config（按照需求改它的配置文件）

8.重新启动这个服务systemctl    restart  sshd

openssh漏洞？

被第三方检测除了openssh好多高危漏洞，现在把22只对某一固定IP开放了。这样还能再检测出漏洞么?不修复可以么？

为了系统的安全加固，一般都会将openssh服务升级到最新版本，其中包括ssh、scp、sftp等服务。
笔者在升级的时候遇到了好多坑，现做一下整理。网上有好多关于升级openssh服务的介绍，大都不是很全，或多或少有问题，或是系统版本不同，或是安装方式不同，或是服务版本不同。在这里，笔者主要针对编译安装的方式来介绍。
基础环境准备：
首先打开两个或以上的shell连接，因为在升级过程中如果升级失败会导致不发新建shell连接；
官方网站下载最新版*.tar.gz安装包：https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
注意：要下载p1版，此版为编译安装包。
在安装之前先记下sshd.pid路径，因为在启动文件sshd中要更改此路径。
将安装包先传入服务器中；
卸载现有版本openssh：rpm -e `rpm -qa |grep openssh`
删除/etc/ssh/下所有文件，在卸载完openssh后此路径下文件不会删除，需手动删除；
安装依赖：zlib-devel、openssl-devel、gcc、gcc-c++、make等
编译安装openssh：
./configure --prefix=/usr/ --sysconfdir=/etc/ssh/ --with-ssl --with-md5-passwords mandir=/usr/share/man/
make && make install
删除/etc/ssh/下的密钥对，rm -f /etc/ssh/ssh_host_* （只删除密钥对即可，在重启的时候会重新生成）
复制启动文件至/etc/init.d/
cp contrib/redhat/sshd.init /etc/init.d/sshd
修改启动文件：vim /etc/init.d/sshd，将PID_FILE路径改为原来的sshd.pid的路径
重启sshd服务即可。
至此openssh服务升级完成，将sshd服务添加到开机启动即可。
此版本openssh的配置文件默认是没有开启root登录权限的，想要开启权限可以修改配置文件/etc/ssh/sshd_config
注：在解压目录~/openssh-7.7p1/contrib中有多个系统版本的启动文件，
如：aix、cygwin、hpux、redhat、suse等，如果此处没有你所安装的系统版本可以根据redhat版本的启动文件来修改相关内容，前文讲到的记录sshd.pid路径的原因就在此。
另外，安装目录为/usr/，因为在启动文件中有关于SSHD的路径，此安装目录默认为redhat启动文件的路径
如果变更了安装路径，启动文件的此路径也要变更。 参考技术A openssh加防火墙可以限制住的，第三方检测工具用是的什么IP可以直接把第三方的IP直接封住。
openssh漏洞最好还是修复一下，也比较简单，
1、装一个TELNET服务以防止openssh升级过程中无法远程。
2、到官网下最新的openssh包（目前好像到8.1）安装。本回答被提问者和网友采纳 参考技术B 用NMAP半开模式扫描，或者把IP改成他的服务器地址进行链接测试 参考技术C openssh好多高危漏洞，现在把2