在项目中,我们经常会发现Linux系统中Open SSH、Open SSL存在高危漏洞,如OpenSSL“心脏出血”漏洞,利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站等。 以及OpenSSH漏洞,如“OpenSSH远程代码执行漏洞CVE-2016-10009”, sshd服务可以利用转发的agent-socket文件,欺骗本机的ssh-agent来加载一个恶意的PKCS#11模块,从而可以远程执行代码,黑客利用漏洞实现远程命令执行,严重情况下可能会导致数据泄露。 我们一般通过升级openssh和openssl来解决系统中存在的相关高危漏洞。
升级说明
openSSL升级至openssl 1.1.1k版本 openssl version -a #当前查看版本 openssl下载地址:https://ftp.openssl.org/source/
openSSH升级至openssh 8.6版本 ssh -V #当前查看版本 openssh下载地址:https://ftp.riken.jp/pub/OpenBSD/OpenSSH/portable/ ,以 p1.tar.gz结尾的即可,选择自己想要的版本
一、安装telnet (以防升级失败,连不上服务器,建议弄)
# 查看是否安装telnet服务
rpm -qa | grep telnet
rpm -qa | grep xinetd
# 若无安装,yum安装
yum -y install telnet*
yum -y install xinetd
#将服务开机自启(此处根据自身情况考虑)
systemctl enable xinetd.service
systemctl enable telnet.socket
#开启服务
systemctl start telnet.socket
systemctl start xinetd
#安装好后,更改配置文件,允许telnet远程连接,Linux7中可能不需要:
vi /etc/xinetd.d/telnet
将disable = yes改为 disable = no,退出保存。
vi /etc/securetty
#在最后添加两行
pts/0
pts/1
systemctl restart xinetd
netstat -plnt |grep 23 # 确认下是否启动成功二、升级OpenSSl
1、查看原版本
openssl version -a2、安装依赖包
#安装openssl 依赖包
yum -y install perl gcc gcc-c++ glibc make zlib3、解压安装
#我们将ssl安装在/usr/local/openssl目录下
tar -zxvf openssl-1.1.1k.tar
cd openssl-1.1.1k
./config --prefix=/usr/local/openssl
#检查环境
./config -t
make #编译
make install #编译安装4、修改配置
#更新函数库
cd /usr/local
ldd /usr/local/openssl/bin/openssl #检查函数库
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf #添加所缺函数库
ldconfig -v #更新函数库
openssl/bin/openssl version #查看新安装的版本
#移出旧版本
which openssl #查看旧版本openssl命令在哪里
mv /usr/bin/openssl /usr/bin/openssl.old #将旧版本openssl移除
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl #新版本制作软链接
openssl version 最后查看版本,更新完毕
在确保Openssl版本为1.0.1后,可以升级Openssh了,升级方法如下。三、升级openssh
1、解压,安装依赖包
ssh -V #查看ssh版本
#解压:
tar -zxvf openssh-8.6p1.tar
#安装依赖包
yum -y install openssl-devel pam-devel2、移除旧版本
#可以提前备份一下:
cp /usr/sbin/sshd /usr/sbin/sshd.bak
cp /etc/ssh/ssh_config /etc/ssh/ssh_config.bak
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp /etc/ssh/moduli /etc/ssh/moduli.bak
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
mv /etc/ssh /etc/ssh.old
### 需要注意,移除之后,不能退出当前终端,若退出就无法ssh连接了,只能通过telnet连了。3、编译安装
cd openssh-8.6p1/
# 配置安装目录为/usr/local/openssh
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening
或者
--without-openssl-header-check
报错1:
在安装的过程中如遇到以下错误,请安装:yum -y install openssl-devel
报错2:configure: error: PAM headers not found
请安装 yum -y install pam-devel
我升级的时候只遇到这两个错,如遇到别的错,请自行解决。
然后编译安装
make && make install4、修改启动脚本
# 拷贝启动脚本
cd openssh-8.6p1/
cp ./contrib/redhat/sshd.init /etc/init.d/sshd
# 修改启动脚本
vi /etc/init.d/sshd
# 按如下图修改,需要注意,此路径是你安装新版本的openssh路径,根据你的实际情况修改
SSHD=/usr/local/openssh/sbin/sshd
### 注意根据自身情况修改路径
/usr/local/openssh/bin/ssh-keygen –A
/sbin/restorecon /etc/ssh/ssh_host_key.pub
/sbin/restorecon /etc/ssh/ssh_host_rsa_key.pub
/sbin/restorecon /etc/ssh/ssh_host_dsa_key.pub
/sbin/restorecon /etc/ssh/ssh_host_ecdsa_key.pub
start()
{
#Create keys if necessary
/usr/local/openssl/bin/ssh-keygen -A
if [ -x /sbin/restorecon ]; then
/sbin/restorecon /etc/ssh/ssh_host_key.pub
/sbin/restorecon /etc/ssh/ssh_host_rsa_key.pub
/sbin/restorecon /etc/ssh/ssh_host_dsa_key.pub
/sbin/restorecon /etc/ssh/ssh_host_ecdsa_key.pub
fi5、修改sshd配置文件/etc/ssh/sshd_config
chkconfig --add sshd
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config #直接用root登录终端(此处根据自身情况考虑)
echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config #是否允许密码验证
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config #允许pubKey(id_rsa.pub)登录
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config #设置是否允许X11转发
或者:vi /etc/sshd_config
# 在末尾加入账号远程配置, 输入 :wq 保存退出
PermitRootLogin yes
PubkeyAuthentication yes
PasswordAuthentication yes
X11Forwarding yes6、卸载原有ssh(先安装后卸载,也是怕升级失败,如果有把握,可先卸载)
for i in $(rpm -qa |grep openssh);do rpm -e $i --nodeps ;done
提示警告:
将警告中被修改的文件名字再改回来
mv /etc/ssh/sshd_config.rpmsave /etc/ssh/sshd_config
mv /etc/ssh/ssh_config.rpmsave /etc/ssh/ssh_config
mv /etc/ssh/moduli.rpmsave /etc/ssh/moduli7、替换相关命令,并重启sshd服务
cp -arp /usr/local/openssh/bin/* /usr/bin/ #替换相关命令
service sshd restart #重启sshd服务
chkconfig --add sshd
chkconfig sshd on
# 验证升级、让其他人测试连接后再退出
ssh -V 和 telnet 验证8、设置开机自启
chkconfig --add sshd
chkconfig --level 2345 sshd on
chkconfig --list
升级完成后,为了安全起见,建议关闭telnet
#关闭服务(此处根据自身情况考虑)
systemctl stop telnet.socket
systemctl stop xinetd
#关闭服务开机自启(此处根据自身情况考虑)
systemctl disable xinetd.service
systemctl disable telnet.socket