centos7 升级openssh7.5 操作

前段时间因为要修复openssh的漏洞,官方说法是升级openssh,所以就选择了升级到 openssh-7.5p1 ,升级openssh连带要升级openssl。

漏洞信息:

Openssh MaxAuthTries限制绕过漏洞(CVE-2015-5600)

OpenSSH 远程权限提升漏洞(CVE-2016-10010)

操作系统:

CentOS Linux release 7.2.1511 (Core)

软件包:

openssh-7.5p1.tar.gz       openssh-7.5p1.tar

openssl-1.0.2k.tar.gz      openssl-1.0.2k.tar

(openssl不可以选用1.1.X 版本,否则openssh编译时会报错)

关闭selinux

vim /etc/sysconfig/selinux
修改 SELINUX=disabled

1、临时关闭(不用重启机器)关闭 命令 setenforce 0

 

images

 

 

一、升级之前最好先把telnet开起来,防止意外导致ssh无法连接

 

 

默认情况下,系统是不允许root用户telnet远程登录的。如果要使用root用户直接登录,需设置如下内容:

mv /etc/securetty /etc/securetty.old

service  xinetd  restart ####重启服务

 

验证登录:

用telnet 的方式登录 服务器,看能不能连上服务器,登录成功后再做以下操作。

二、升级openssl

升级前的版本

上传程序包 openssl-1.0.2k.tar.gz 和openssh-7.5p1.tar.gz   到服务器 (这里一定要注意,一定要把文件先上传到服务器,后面如果删除旧版的程序后,sftp yum get 暂时都不能用了的)

安装依赖包:

yum -y install pam-devel.x86_64 zlib-devel.x86_64

yum install gcc-c++  gcc  -y

卸载旧版程序:(在卸载之前确认又上传了程序包到服务器上)

 

解压缩:

tar -zxvf openssl-1.0.2k.tar.gz

进入解压路径:

cd openssl-1.0.2k

编译安装:

 

创建软链接:

 

 

验证版本信息:openssl version -a

 

images

 

openssl升级完成。

 

三、升级openssh

备份旧ssh配置文件 /etc/ssh :
mv /etc/ssh/ /home/ssh-bak
解压:
tar -zxvf openssh-7.5p1.tar.gz
进入解压路径:
cd openssh-7.5p1
编译安装:

 

make && make install
复制pam的头文件:
cp contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
(这里的pam其实是没有启用的,所以这一步可以省略,在sshd_config中如果开启pam会出现无法连接的情况,这个问题有待研究)
复制启动脚本:
cp contrib/redhat/sshd.init /etc/init.d/sshd
设置开机启动:
chkconfig sshd on
编辑ssh配置文件:
vim /etc/ssh/sshd_config
取消注释 PasswordAuthentication yes

执行:如下命令

 

 

验证版本信息:
ssh -V

images

Leave a Reply

Your email address will not be published. Required fields are marked *