openssh 8.0你更新了麼？附錄全套攻略，歡迎點贊！

OpenSSH 8.0 發佈了，此版本緩解了 scp(1) 工具和協議漏洞 CVE-2019-6111，該漏洞此前咱們以前報導過：知名文件傳輸協議 SCP 被曝存在 35 年曆史的安全漏洞。將文件從遠程系統複製到本地目錄時，SCP 客戶端沒法驗證 SCP 服務器返回的對象是否與請求的東西一致，這使得***者可使用惡意服務器控制的內容建立或破壞本地文件。

OpenSSH 8.0 的緩解措施添加了客戶端檢查，查看從服務器發送的文件名與命令行請求是否匹配。

SCP 協議已通過時，不靈活且不易修復，OpenSSH 官方建議使用更現代的協議進行文件傳輸，如 sftp 和 rsync。

此版本新特性包括：

ssh(1)、ssh-agent(1)、ssh-add(1)：PKCS#11 token 中添加對 ECDSA 密鑰的支持。

ssh(1)、sshd(8)：基於 Streamlined NTRU Prime 4591^761 和 X25519 的組合，添加實驗性量子計算抗性密鑰交換方法。

ssh-keygen(1)：將默認 RSA 密鑰大小增長到 3072 位。

ssh(1)：容許「PKCS11Provider = none」覆蓋 ssh_config 中 PKCS11Provider 指令的後續實例。

ssh(1)：提示是否錄製新主機密鑰時，輸入密鑰指紋做爲「yes」。

ssh-keygen(1)：在單個命令行調用上簽名多個證書時，容許自動遞增證書序列號。

scp(1)、sftp(1)：接受 -J 選項做爲 scp 和 sftp 命令行上 ProxyJump 的別名。

ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1)：接受「-v」命令行標誌以增長輸出的詳細程度；將詳細標誌傳遞給子進程，例如從 ssh-agent 啓動的 ssh-pkcs11-helper。

ssh-add(1)：添加「-T」選項以容許經過執行簽名和驗證來測試代理中的密鑰是否可用。

sshd(8)：在 PAM 環境中暴露 $SSH_CONNECTION。

---

安裝方法（劃重點！）
一、LINUX4.0升級OPENSSH方法
首先須要配置YUM源！！
Yum配置文件在/etc/yum.repos.d/
掛載安裝光盤鏡像到/mnt目錄，並拷貝光盤文件到建立的/rhel-dvd目錄。
mount /dev/cdrom /mnt
屏蔽系統的默認YUM源，並建立新的YUM源文件
cd /etc/yum.repos.d/
mkdir old
mv .repo old/
touch localyum.repo
而後編輯localyunm.repo，內容以下：
[LINUX]
name=LINUX
gpgcheck=0
enable=1
baseurl=file:///mnt
編輯完成後
[root@myhost yum.repos.d]# yum makecache
Loaded plugins: product-id, search-disabled-repos, security, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
LINUX | 4.1 kB 00:00 ...
LINUX /group_gz | 216 kB 00:00 ...
LINUX /filelists_db | 3.4 MB 00:00 ...
LINUX /primary_db | 3.1 MB 00:00 ...
LINUX /other_db | 1.3 MB 00:00 ...
Metadata Cache Created
此方法中的第10步，視狀況修改！！！！
一、ssh登陸到要安裝的服務器上,查看當前版本
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
二、在/目錄下建立/tools目錄，經過FTP工具上傳安裝文件到該目錄下
mkdir /tools
使用yum安裝Telnet服務
三、爲防止重啓SSH後沒法登陸，安裝TELNET
yum install -y telnet-server
四、修改telnet文件disable=no(原有值爲yes),容許用戶遠程登陸
sed -i '12 s/yes/no/' /etc/xinetd.d/telnet
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securetty
echo 'pts/3' >>/etc/securetty
五、而後重啓服務
service xinetd restart
Stopping xinetd: [FAILED]
Starting xinetd: [ OK ]
重啓後，適用telnet登陸LINUX系統。執行以後操做！！
六、用ROOT帳戶使用telnet登陸系統執行修改OPENSSH操做
rpm -e openssh-server-5.3p1-122.el6.x86_64
安裝必要的軟件包
yum install -y gcc
yum -y install pam-devel

七、安裝zlib
cd /tools
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure --prefix=/usr/local/zlib && make && make install
cd ..
八、安裝openssl
tar -zxvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config --prefix=/usr/local/openssl && make depend && make && make install
cd ..
九、安裝openssh
tar -zxvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
十、修改version.h文件，把裏面」」裏面的內容改爲「空格」。
/ $OpenBSD: version.h,v 1.80 2017/09/30 22:26:33 djm Exp $ /
#define SSH_VERSION " "
#define SSH_PORTABLE " "
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE
十一、而後再在執行編譯安裝
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib --with-md5-passwords --with-pam --without-hardening && make && make install
十二、拷貝SSHD服務文件
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
1三、修改SSHD服務文件，修改對應指令的安裝目錄
vi /etc/init.d/sshd
SSHD=/usr/sbin/sshd 爲 SSHD=/usr/local/openssh/sbin/sshd
/usr/bin/ssh-keygen -A 爲 /usr/local/openssh/bin/ssh-keygen -A
1四、保存退出
把SSHD加入到系統服務
chkconfig --add sshd
1五、查看系統啓動服務是否增長改項
chkconfig --list |grep sshd
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
1六、從新啓動SSHD服務。
service sshd start
1七、替換SSH及SSL命令
mv /usr/bin/ssh /usr/bin/ssh.old
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
1八、檢查相關軟件版本
[root@myhost ~]# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2h 3 May 2016
[root@myhost ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/openssl/ssl"
升級到新版本後，默認不容許root用戶遠程登陸，修改/etc/ssh/sshd_config配置文件。
PermitRootLogin yes
從新啓動SSHD服務。
service sshd start
測試登陸SSH，測試成功後，刪除TELNET
rpm -e telnet-server-0.17-47.el6_3.1.x86_64
rpm -e xinetd-2.3.14-39.el6_4.x86_64

二、LINUX5.0升級OPENSSH方法
首先須要配置YUM源！！
Yum配置文件在/etc/yum.repos.d/
掛載安裝光盤鏡像到/mnt目錄，並拷貝光盤文件到建立的/rhel-dvd目錄。
mount /dev/cdrom /mnt
屏蔽系統的默認YUM源，並建立新的YUM源文件
cd /etc/yum.repos.d/
mkdir old
mv .repo old/
touch localyum.repo
而後編輯localyunm.repo，內容以下：
[LINUX]
name=LINUX
gpgcheck=0
enable=1
baseurl=file:///mnt
編輯完成後
[root@myhost yum.repos.d]# yum makecache
Loaded plugins: product-id, search-disabled-repos, security, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
LINUX | 4.1 kB 00:00 ...
LINUX /group_gz | 216 kB 00:00 ...
LINUX /filelists_db | 3.4 MB 00:00 ...
LINUX /primary_db | 3.1 MB 00:00 ...
LINUX /other_db | 1.3 MB 00:00 ...
Metadata Cache Created
此方法中的第10步，視狀況修改！！！！
一、ssh登陸到要安裝的服務器上,查看當前版本
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
二、在/目錄下建立/tools目錄，經過FTP工具上傳安裝文件到該目錄下
mkdir /tools
使用yum安裝Telnet服務
三、爲防止重啓SSH後沒法登陸，安裝TELNET
yum install -y telnet-server
四、修改telnet文件disable=no(原有值爲yes),容許用戶遠程登陸
sed -i '12 s/yes/no/' /etc/xinetd.d/telnet
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securetty
echo 'pts/3' >>/etc/securetty
五、而後重啓服務
service xinetd restart
Stopping xinetd: [FAILED]
Starting xinetd: [ OK ]
重啓後，適用telnet登陸LINUX系統。執行以後操做！！
六、用ROOT帳戶使用telnet登陸系統執行修改OPENSSH操做
rpm -e openssh-server-5.3p1-122.el6.x86_64
安裝必要的軟件包
yum install -y gcc
yum -y install pam-devel
七、安裝zlib
cd /tools
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure --prefix=/usr/local/zlib && make && make install
cd ..
八、安裝openssl
tar -xvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config --prefix=/usr/local/openssl && make depend && make && make install
cd ..
九、安裝openssh
tar -xvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
十、修改version.h文件，把裏面」」裏面的內容改爲「空格」。
/ $OpenBSD: version.h,v 1.80 2017/09/30 22:26:33 djm Exp $ /
#define SSH_VERSION " "
#define SSH_PORTABLE " "
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE
十一、而後再在執行編譯安裝
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib --with-md5-passwords --with-pam --without-hardening && make && make install
十二、拷貝SSHD服務文件
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
1三、修改SSHD服務文件，修改對應指令的安裝目錄
vi /etc/init.d/sshd
SSHD=/usr/sbin/sshd 爲 SSHD=/usr/local/openssh/sbin/sshd
/usr/bin/ssh-keygen -A 爲 /usr/local/openssh/bin/ssh-keygen -A
1四、保存退出
把SSHD加入到系統服務
chkconfig --add sshd
1五、查看系統啓動服務是否增長改項
chkconfig --list |grep sshd
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
1六、從新啓動SSHD服務。
service sshd start
1七、替換SSH及SSL命令
mv /usr/bin/ssh /usr/bin/ssh.old
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
1八、檢查相關軟件版本
[root@myhost ~]# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2h 3 May 2016
[root@myhost ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/openssl/ssl"
2.1九、升級到新版本後，默認不容許root用戶遠程登陸，修改/etc/ssh/sshd_config配置文件。
PermitRootLogin yes
2.20、從新啓動SSHD服務。
service sshd start
2.2一、測試登陸SSH，測試成功後，刪除TELNET
rpm -e telnet-server-0.17-47.el6_3.1.x86_64
rpm -e xinetd-2.3.14-39.el6_4.x86_64
三、LINUX6.0升級OPENSSH方法
安裝TELNET，防止OPENSSH服務失敗
安裝telnet-server及xinetd包
適用rpm –ivh安裝這兩個包
若是想直接以root用戶登陸對方主機，能夠在修改對方主機上的配置文件/etc/pam.d/remote
註釋/etc/pam.d/remote的第一行,
即:#auth required pam_securetty.so
啓動telnet服務
systemctl start telnet.socket && systemctl start xinetd
以後經常使用telnet登陸系統

3.一、備份原有配置文件，並修改
cp /etc/pam.d/sshd /root
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

3.二、檢查是否包含openssh-askpass包
執行rpm -qa|grep openssh-askpass
若是返回存在openssh-askpass-<版本>.x86_64包，則須要卸載該安裝包
執行 rpm -e <安裝包名>

3.三、拷貝openssh安裝包到服務器
建立安裝包目錄mkdir /openssl
使用XFTP或其它FTP工具，把如下安裝包拷貝到/openssl目錄
openssh-8.0p1-1.el6.x86_64.rpm
openssh-clients-8.0p1-1.el6.x86_64.rpm
openssh-debuginfo-8.0p1-1.el6.x86_64.rpm
openssh-server-8.0p1-1.el6.x86_64.rpm

3.四、執行升級命令
cd /openssh
rpm -Uvh *.rpm

3.五、恢復配置文件
Vi修改/etc/ssh/sshd_config文件，修改以下內容：

#PermitRootLogin prohibit-password 修改成PermitRootLogin yes
#UsePAM no 修改成 UsePAM yes

恢復sshd配置文件
cp /root/sshd /etc/pam.d/
提示輸入y確認

3.六、從新生成加密祕鑰
cd /etc/ssh/
mkdir old
mv sshhost* old
最後從新啓動SSH服務
/etc/init.d/sshd restart
重啓以後檢查ssh -V 當前版本是否爲8.0
四、LINUX7.0升級OPENSSH方法
安裝TELNET，防止OPENSSH服務失敗
安裝telnet-server及xinetd包
適用rpm –ivh安裝這兩個包
若是想直接以root用戶登陸對方主機，能夠在修改對方主機上的配置文件/etc/pam.d/remote
註釋/etc/pam.d/remote的第一行,
即:#auth required pam_securetty.so
啓動telnet服務
systemctl start telnet.socket && systemctl start xinetd
以後經常使用telnet登陸系統

4.一、備份原有配置文件，並修改
cp /etc/pam.d/sshd /root
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

4.二、檢查是否包含openssh-askpass包
執行rpm -qa|grep openssh-askpass
若是返回存在openssh-askpass-<版本>.x86_64包，則須要卸載該安裝包
執行 rpm -e <安裝包名>

4.三、拷貝openssh安裝包到服務器
建立安裝包目錄mkdir /openssh
使用XFTP或其它FTP工具，把如下安裝包拷貝到/openssh目錄
openssh-8.0p1-1.el6.x86_64.rpm
openssh-clients-8.0p1-1.el6.x86_64.rpm
openssh-debuginfo-8.0p1-1.el6.x86_64.rpm
openssh-server-8.0p1-1.el6.x86_64.rpm

4.四、執行升級命令
cd /openssh
rpm -Uvh *.rpm

4.五、恢復配置文件
Vi修改/etc/ssh/sshd_config文件，修改以下內容：

#PermitRootLogin prohibit-password 修改成PermitRootLogin yes
#UsePAM no 修改成 UsePAM yes

恢復sshd配置文件
cp /root/sshd /etc/pam.d/
提示輸入y確認

4.六、從新生成key祕鑰
cd /etc/ssh
mkdir key_bak
mv sshhost* key_bak
最後從新啓動SSH服務

4.七、重啓SSHD
/etc/init.d/sshd restart
重啓以後檢查ssh -V 當前版本是否爲8.0

五、UBUNTU系統升級

適用於一下版本UBUNTU
jcadmin@ubuntu:~/deb$ uname -a
Linux ubuntu 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
jcadmin@ubuntu:~/deb$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04 LTS
Release: 12.04
Codename: precise

5.一、安裝必備包
上傳安裝包deb.tar source_ssh.tar ssh5.9.tar
sudo cp /etc/init.d/ssh /etc/init.d/ssh.old
tar -xvf deb.tar
cd deb
sudo dpkg -i *.deb
netstat -a | grep telnet

5.二、telnet 登陸，卸載ssh
sudo dpkg -r openssh-server
sudo dpkg -r openssh-client
cd /etc/
sudo mv ssh/ ssh.old

5.三、安裝軟件包
cd ~
tar -xvf source_ssh.tar
cd source_ssh/
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8/
sudo ./configure
sudo make && sudo make install
cd ..
tar -xvf openssl-1.0.2s.tar.gz
cd openssl-1.0.2s/
sudo ./config -fPIC
sudo make && sudo make install
cd ..
tar -xvf openssh-8.0p1.tar.gz
cd openssh-8.0p1/
sudo ./configure --sysconfdir=/etc/ssh --with-md5-passwords --with-ssl-dir=/usr/local/ssl
sudo make && sudo make install

若是make install 報錯提示ssh用戶不存在，增長SSH用戶信息
sudo vi /etc/passwd
增長sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin

5.四、恢復服務
sudo cp /usr/local/sbin/sshd /usr/bin/
sudo cp /usr/local/sbin/sshd /usr/sbin/
sudo cp /etc/init.d/ssh.old /etc/init.d/ssh
sudo service ssh stop
sudo service ssh start
本地ssh -V查看版本
遠程主機telnet 該主機22端口，看返回版本是否爲8.0
適用SSH遠程登陸，測試。
如成功升級，卸載telnetd,執行以下命令：
sudo dpkg -r telnetd

附件i、若是ssh服務開機不自動啓動按以下修改
vim /etc/rc.local
在exit 0上一行添加
/usr/local/openssh/sbin/sshd
全部內容收錄在百度網盤，歡迎下載交流：
連接：https://pan.baidu.com/s/1JY4EaBEuRk_8bSn2fgH0KQ
提取碼：60uu

歡迎關注個人我的公衆號