openssh漏洞？

Posted 2023-03-23

被第三方检测除了openssh好多高危漏洞，现在把22只对某一固定IP开放了。这样还能再检测出漏洞么?不修复可以么？

为了系统的安全加固，一般都会将openssh服务升级到最新版本，其中包括ssh、scp、sftp等服务。
笔者在升级的时候遇到了好多坑，现做一下整理。网上有好多关于升级openssh服务的介绍，大都不是很全，或多或少有问题，或是系统版本不同，或是安装方式不同，或是服务版本不同。在这里，笔者主要针对编译安装的方式来介绍。
基础环境准备：
首先打开两个或以上的shell连接，因为在升级过程中如果升级失败会导致不发新建shell连接；
官方网站下载最新版*.tar.gz安装包：https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz
注意：要下载p1版，此版为编译安装包。
在安装之前先记下sshd.pid路径，因为在启动文件sshd中要更改此路径。
将安装包先传入服务器中；
卸载现有版本openssh：rpm -e `rpm -qa |grep openssh`
删除/etc/ssh/下所有文件，在卸载完openssh后此路径下文件不会删除，需手动删除；
安装依赖：zlib-devel、openssl-devel、gcc、gcc-c++、make等
编译安装openssh：
./configure --prefix=/usr/ --sysconfdir=/etc/ssh/ --with-ssl --with-md5-passwords mandir=/usr/share/man/
make && make install
删除/etc/ssh/下的密钥对，rm -f /etc/ssh/ssh_host_* （只删除密钥对即可，在重启的时候会重新生成）
复制启动文件至/etc/init.d/
cp contrib/redhat/sshd.init /etc/init.d/sshd
修改启动文件：vim /etc/init.d/sshd，将PID_FILE路径改为原来的sshd.pid的路径
重启sshd服务即可。
至此openssh服务升级完成，将sshd服务添加到开机启动即可。
此版本openssh的配置文件默认是没有开启root登录权限的，想要开启权限可以修改配置文件/etc/ssh/sshd_config
注：在解压目录~/openssh-7.7p1/contrib中有多个系统版本的启动文件，
如：aix、cygwin、hpux、redhat、suse等，如果此处没有你所安装的系统版本可以根据redhat版本的启动文件来修改相关内容，前文讲到的记录sshd.pid路径的原因就在此。
另外，安装目录为/usr/，因为在启动文件中有关于SSHD的路径，此安装目录默认为redhat启动文件的路径
如果变更了安装路径，启动文件的此路径也要变更。 参考技术A openssh加防火墙可以限制住的，第三方检测工具用是的什么IP可以直接把第三方的IP直接封住。
openssh漏洞最好还是修复一下，也比较简单，
1、装一个TELNET服务以防止openssh升级过程中无法远程。
2、到官网下最新的openssh包（目前好像到8.1）安装。本回答被提问者和网友采纳 参考技术B 用NMAP半开模式扫描，或者把IP改成他的服务器地址进行链接测试 参考技术C openssh好多高危漏洞，现在把2

openssh漏洞怎么修复 windows

漏洞名称：OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
漏洞说明：OpenSSH是SSH协议组的实现，可为各种服务提供加密的认证传输，包括远程shell访问。当J-PAKE启用时，OpenSSH 5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可以通过发送每一轮协议中的特制值绕过共享秘密信息的需求，并成功获得认证。
解决方法：卸载系统的OpenSSH服务，安装最新版本的OpenSSH。
解决方法步骤：

1.检查openssl 版本在0.9.6以上
rpm –qa |grep openssl

2.检查zlib版本在1.2.1.2以上
rpm –qa |grep zlib

3.使用root用户登录系统进入到/root 上传openssh-6.6p1.tar.gz到该目录下
Cp /mnt/openssh-6.6p1.tar.gz /root

4.备份原rpm启动脚本到当前路径下
cp /etc/init.d/sshd ./

5.停止ssh服务
/etc/init.d/sshd stop

6.删除原rpm openssh软件包
rpm -e openssh-server openssh-5.3p1 openssh-clients openssh-askpass --nodeps

7.解压源码补丁安装包
tar -zxvf openssh 6.0p1.tar.gz

8.进入该目录
cd /root/openssh6.0p1
9.配置yum
新建ISO挂载目录
Mkdir /localyum
将ISO文件挂载到新建的目录(如果是光盘：mount -a /dev/cdrom /localyum
Mount -o loop /mnt/rhel-server-6.5-x86_64-dvd.iso /localyum
新建repo文件
Vim /etc/yum.repo/localyum.repo
内容如下： 参考技术A 漏洞会更新硬盘的系统文件，你可以选择更新严重的漏洞，这样不容易中毒遭到攻击。
如果对电脑不是很懂，建议更新全部漏洞。
可以安装有杀毒软件，像腾讯电脑管家，会根据你的系统环境智能筛选，若是发现不适用于你的系统环境的漏洞补丁也会智能忽略，将因补丁引起问题的机率较到最低。
以后随时更新，良好的使用习惯不浏览非法网站，下载安装垃圾软件，就能保护你的电脑。