ssh漏洞修复:openssh升级及降级
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ssh漏洞修复:openssh升级及降级相关的知识,希望对你有一定的参考价值。
参考技术A ssh -V查看当前版本在这里使用脚本升级(前提:你的网络是可以连接外网的)
yum -y install gcc
写个update.sh的文件,直接bash搞起
ssh -V查看版本有没有升级
说明:
1.卸载openssh,命令就是这个yum -y remove openssh-当前版本(8.5p)
2.yum库指向本地的源
3.重新安装openssh,yum -y install openssh,openssh-server openssh-clients(这三个包)
4.启动这个服务systemctl restart sshd
5.执行上面的脚本更新版本
6.重新启动这个服务systemctl restart sshd
7.修改配置文件/etc/ssh/sshd_config(按照需求改它的配置文件)
8.重新启动这个服务systemctl restart sshd
openssh漏洞?
被第三方检测除了openssh好多高危漏洞,现在把22只对某一固定IP开放了。这样还能再检测出漏洞么?不修复可以么?
为了系统的安全加固,一般都会将openssh服务升级到最新版本,其中包括ssh、scp、sftp等服务。笔者在升级的时候遇到了好多坑,现做一下整理。网上有好多关于升级openssh服务的介绍,大都不是很全,或多或少有问题,或是系统版本不同,或是安装方式不同,或是服务版本不同。在这里,笔者主要针对编译安装的方式来介绍。
基础环境准备:
首先打开两个或以上的shell连接,因为在升级过程中如果升级失败会导致不发新建shell连接;
官方网站下载最新版*.tar.gz安装包:https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
注意:要下载p1版,此版为编译安装包。
在安装之前先记下sshd.pid路径,因为在启动文件sshd中要更改此路径。
将安装包先传入服务器中;
卸载现有版本openssh:rpm -e `rpm -qa |grep openssh`
删除/etc/ssh/下所有文件,在卸载完openssh后此路径下文件不会删除,需手动删除;
安装依赖:zlib-devel、openssl-devel、gcc、gcc-c++、make等
编译安装openssh:
./configure --prefix=/usr/ --sysconfdir=/etc/ssh/ --with-ssl --with-md5-passwords mandir=/usr/share/man/
make && make install
删除/etc/ssh/下的密钥对,rm -f /etc/ssh/ssh_host_* (只删除密钥对即可,在重启的时候会重新生成)
复制启动文件至/etc/init.d/
cp contrib/redhat/sshd.init /etc/init.d/sshd
修改启动文件:vim /etc/init.d/sshd,将PID_FILE路径改为原来的sshd.pid的路径
重启sshd服务即可。
至此openssh服务升级完成,将sshd服务添加到开机启动即可。
此版本openssh的配置文件默认是没有开启root登录权限的,想要开启权限可以修改配置文件/etc/ssh/sshd_config
注:在解压目录~/openssh-7.7p1/contrib中有多个系统版本的启动文件,
如:aix、cygwin、hpux、redhat、suse等,如果此处没有你所安装的系统版本可以根据redhat版本的启动文件来修改相关内容,前文讲到的记录sshd.pid路径的原因就在此。
另外,安装目录为/usr/,因为在启动文件中有关于SSHD的路径,此安装目录默认为redhat启动文件的路径
如果变更了安装路径,启动文件的此路径也要变更。 参考技术A openssh加防火墙可以限制住的,第三方检测工具用是的什么IP可以直接把第三方的IP直接封住。
openssh漏洞最好还是修复一下,也比较简单,
1、装一个TELNET服务以防止openssh升级过程中无法远程。
2、到官网下最新的openssh包(目前好像到8.1)安装。本回答被提问者和网友采纳 参考技术B 用NMAP半开模式扫描,或者把IP改成他的服务器地址进行链接测试 参考技术C openssh好多高危漏洞,现在把2
以上是关于ssh漏洞修复:openssh升级及降级的主要内容,如果未能解决你的问题,请参考以下文章