升级openssh到8.4用以解决openSSH一下安全漏洞问题
OpenSSH 安全漏洞(CVE-2020-14145)
OpenSSH 安全漏洞(CVE-2018-15919)
OpenSSH 安全漏洞(CVE-2017-15906)
OpenSSH 安全漏洞(CVE-2018-15473)
准备如下安装包并上传到服务器,当前以/opt/soft/为例
打包下载地址:https://download.csdn.net/download/u010976445/86093456
zlib-1.2.11.tar.gz
openssl-1.1.1g.tar.gz
openssh-8.4p1.tar.gz
安装zlib解压zlib源码包、进入解压文件夹、编译安装并输出安装结果(输出0表示安装正常),如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)
[root soft]# tar -zxvf zlib-1.2.11.tar.gz [root soft]# cd zlib-1.2.11 [root zlib-1.2.11]# ./configure --prefix=/usr/local/zlib [root zlib-1.2.11]# make && make install && echo $?安装 openssl
解压openssl源码包、进入解压文件夹、编译安装并输出安装结果(输出0表示安装正常),如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)
[root soft]# tar -zxvf openssl-1.1.1g.tar.gz [root soft]# cd openssl-1.1.1g [root openssl-1.1.1g]# ./config --prefix=/usr/local/openssl -d shared [root openssl-1.1.1g]# make && make install && echo $?
完成安装后创建软连接并打印当前版本
[root openssl-1.1.1g]# ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl [root openssl-1.1.1g]# echo '/usr/local/openssl/lib' >> /etc/ld.so.conf [root openssl-1.1.1g]# /sbin/ldconfig [root openssl-1.1.1g]# openssl version OpenSSL 1.1.1g 21 Apr 2020安装openssh
安装前先备份历史ssh配置文件
[root soft]# mkdir /etc/ssh/bak [root soft]# mv /etc/ssh/* /etc/ssh/bak/
解压openssh源码包、进入解压文件夹、编译安装并输出安装结果(输出0表示安装正常),如果报错请自行排查(编译安装错误一般是缺少gcc等基础包)
[root soft]# tar -xvf openssh-8.4p1.tar.gz [root soft]# cd openssh-8.4p1 [root openssh-8.4p1]# ./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib [root openssh-8.4p1]# make && make install && echo $?安装完成后的配置修改
修改 /usr/local/openssh/etc/sshd_config 文件:
添加22222 ssh端口:找到#Port 22 在下一行添加 Port 22222
启用允许root 远程登录:找到 #PermitRootLogin prohibit-password 在下一行添加 PermitRootLogin yes,
启用公钥身份验证:将 #PubkeyAuthentication yes 注释去除,
启用隧道明文密码:将PasswordAuthentication yes注释去除
覆盖配置文件
回到openssht8.4的解压的包中拷贝一些文件到目标位置并注册服务(如果目标目录存在就覆盖)
[root openssh-8.4p1]# cp -f /usr/local/openssh/bin/ssh /usr/bin/ssh [root openssh-8.4p1]# cp -f /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen [root openssh-8.4p1]# cp -f /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub [root openssh-8.4p1]# cp -f /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config [root openssh-8.4p1]# cp -f /usr/local/openssh/sbin/sshd /usr/sbin/sshd [root openssh-8.4p1]# pwd /opt/soft/openssh-8.4p1 [root openssh-8.4p1]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd [root openssh-8.4p1]# cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam [root openssh-8.4p1]# chmod +x /etc/init.d/sshd [root openssh-8.4p1]# chkconfig --add sshd [root openssh-8.4p1]# systemctl enable sshd
移走原来的systemd管理的sshd文件 否则影响sshd重启
[root openssh-8.4p1]# mv /usr/lib/systemd/system/sshd.service /tmp/
设置开机启动
[root openssh-8.4p1]# chkconfig sshd on重启并验证版本
重启服务并打印sshd版本
[root@test-file openssh-8.4p1]# /etc/init.d/sshd restart [root@test-file openssh-8.4p1]# ssh -V OpenSSH_8.4p1,OpenSSL 1.1.1g 21 Apr 2020
