1. 适用范围
- CentOS 7.x
2. 问题概述
客户现场zCloud主机扫描到openssh的漏洞。
按照最新的漏洞 CVE-2023-51385 修复要求,需要将openssh 升级至 9.6p1 版本。
3. 解决方案
3.1 部署telnet server服务
为防止openssh升级过程中,无法通过sshd服务连接主机而导致的主机失联,建议先安装telnet server 服务以防万一。
安装telnet-server
yum -y install telnet-server复制
安装 xinetd
yum -y install xinetd复制
编辑配置文件 vi /etc/xinetd.d/telnet
service telnet { disable = no flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID }复制
添加 /etc/xinetd.d/telnet 配置文件之后,重启 xinetd 服务,使用 xinetd 启动 telnet server。
# 重启 xinetd
systemctl restart xinetd
# 检查 xinetd 状态
systemctl status xinetd
# 检测 telnet 是否开启,通过检查是否启动 :23 端口判断
ss -anp | grep ':23 '
复制telnet server 配置完成后,可以使用 telnet 进行远程登录的测试。
3.2 升级openssh
3.2.1 升级 openssl
# 解压安装包
tar -zxf openssl-1.1.1q.tar.gz
cd openssl-1.1.1q
# 添加配置路径进行初始化
./config -Wl,-rpath=/usr/lib64 --prefix=/usr/local/openssl --openssldir=/usr/local/openssl --libdir=/usr/lib64
# 编译并安装
make && make install
# 备份,并设置新openssl的软链
mv /usr/bin/openssl /usr/bin/openssl.bak
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
# 检查openssl升级是否成功
openssl version
复制
3.2.2 安装zlib
tar -zxf zlib-1.3.1.tar.gz
cd zlib-1.3.1
./configure --prefix=/usr/local/zlib
make && make install
echo "/usr/local/zlib/lib/" >> /etc/ld.so.conf
ldconfig
cp /usr/local/zlib/lib/libz.so.1.3.1 /lib64/libz.so.1.3.1
ln -snf /lib64/libz.so.1.3.1 /lib64/libz.so
ln -snf /lib64/libz.so.1.3.1 /lib64/libz.so.1
ll /lib64/ | grep libz
复制3.2.3 升级openssh
# 对sshd的配置进行备份
mkdir -p /etc/ssh/bak
cp /etc/ssh/ssh* /etc/ssh/bak
cp /etc/ssh/m* /etc/ssh/bak
cp /etc/pam.d/sshd /etc/ssh/bak
# 卸载当前openssh
rpm -e `rpm -qa | grep openssh` --nodeps
# 解压
tar -zxf openssh-9.6p1.tar.gz
cd openssh-9.6p1
# 初始化
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-md5-passwords --with-tcp-wrappers --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib --mandir=/usr/share/man
# 编译并安装
make && make install
# 下面的文件权限非0600可能会安装错误
chmod 0600 /etc/ssh/ssh_host_rsa_key
chmod 0600 /etc/ssh/ssh_host_ecdsa_key
chmod 0600 /etc/ssh/ssh_host_ed25519_key
# 设置systemd
cp ./contrib/redhat/sshd.init /etc/init.d/
/etc/init.d/sshd.init start
cp /run/systemd/generator.late/sshd.init.service /usr/lib/systemd/system/sshd.service
systemctl daemon-reload
systemctl start sshd
systemctl status sshd
复制4. 参考文档
openssh.com/txt/release-9.6
Index of /pub/OpenBSD/OpenSSH/portable/
Linux Centos7 升级最新版OpenSSH-9.6p1详细步骤(附脚本)_升级openssh9.6-CSDN博客
https://blog.51cto.com/u_15514004/9417210
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
评论
目录
