因爲生產環境ssh版本過低,致使使用安全軟件掃描時提示系統處於異常不安全的狀態,主要緣由是ssh漏洞。推薦經過升級ssh版本修復漏洞html
由於是生產環境,因此有不少問題須要注意。爲了保險起見,在生產環境下作的任何升級之類的操做,最好先在測試環境中先測試一下,若是測試沒問題再在生產環境中實施node
系統環境:centos7.3linux
[root@localhost perl-5.28.0]# ssh -Vcentos
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013安全
[root@localhost perl-5.28.0]# rpm -qa|grep zlib
zlib-1.2.7-17.el7.x86_64bash
有一個問題須要注意一下,那就是版本兼容問題。升級的openssh須要依賴於openssl和zlib,不一樣的openssh版本服務器
下載地址ssh
http://www.zlib.net/socket
https://www.openssl.org/source/ #這個下哪一個版本必定要看openssh的要求,過高或者過低的版本都不行測試
http://www.openssh.com/portable.html
在安裝過程當中可能會提示perl5沒安裝,因此咱們可能還須要安裝perl5
http://www.perl.org/get.html#unix_like
注意必定要安裝telnet並開啓,不然ssh在升級過程當中一旦出現什麼問題,你就等着去機房操做吧。我就在升級過程當中遇到過ssh服務重啓失敗的狀況,致使沒法ssh鏈接,還好有telnet-server,telnet安裝好以後也要測試能鏈接成功
下面正式開始操做
#OS:centos6.5
#注意事項:其中第1、2、四部分在須要升級ssh版本的服務器上執行,第三步在其餘機器上經過telnet鏈接執行,第三步以後才能執行第四步
#第一部分:要求,telnet測試成功
#第二部分:要求,ssh -V顯示版本已更新,能夠另開一個窗口ssh鏈接上去,yum list等也均可以正常使用
#第三部分:要求,經過telnet鏈接,重啓ssh服務
#第四部分:要求,撤銷開放的telnet鏈接,升級工做完成
#如下代碼區域的命令能夠直接複製到腳本內執行,按照如下步驟來
#!/bin/bash #第一部分:這一部分須要根據實際狀況修改,版本不一樣要修改對應的文件名 #下載壓縮包 #注意查看新版openssh的zlib和openssl版本要求 http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/INSTALL yum install wget -y #安裝wget才能下載壓縮包啊,若是一下地址失效,能夠直接訪問主頁尋找下載的地方 wget http://www.zlib.net/zlib-1.2.11.tar.gz wget https://www.openssl.org/source/openssl-1.0.2q.tar.gz #注意最新版openssh不支持最新版本openssh wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz wget https://www.cpan.org/src/5.0/perl-5.28.0.tar.gz #解壓 tar -zxvf zlib* #輸入zlib後直接按tab鍵回車便可 tar -zxvf openssl* tar -zxvf perl* #在安裝openssl前,還須要先安裝好perl5 tar -zxvf openssh* #刪除壓縮包,不然咱們後面很差針對文件操做 rm -rf *.tar.gz #telnet服務 yum -y install telnet-server*
#如下內容爲新增完善的,將xinetd裏的telnet服務啓用
cat > /etc/xinetd.d/telnet <<EOF
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no #啓用telnet
}
<<EOF
mv /etc/securetty /etc/securetty.old #容許root用戶經過telnet登陸 service xinetd start #啓動telnet服務 chkconfig xinetd on #使telnet服務開機啓動,避免升級過程當中服務器意外重啓後沒法遠程登陸系統 service iptables stop chkconfig --del iptables setenforce 0 sed -i 's/=enforcing/=disabled/' /etc/selinux/config echo "telnet設置完畢,請開啓一個終端測試"
echo "opensshversion=解壓後的openssh文件夾名,由於咱們後面要用到openssh+版本這一文件名,因此在這裏先賦值留給後面,例如opensshversion=openssh-7.9p1"
接着新開一個ssh鏈接窗口(必定要能經過telnet成功鏈接上去才能夠):
#測試telnet功能,新開一個鏈接終端
telnet [ip]
#!/bin/bash
#第二部分: #正式開始安裝 #zlib的更新 yum install gcc pam-devel zlib-devel -y #提早安裝好依賴 #tar -zxvf zlib-1.2.11.tar.gz #輸入zlib後直接按tab鍵回車便可 #cd zlib-1.2.11 cd zlib* ./configure --prefix=/usr #檢查依賴關係 make #編譯 rpm -e --nodeps zlib #卸載zlib make install #開始安裝 echo '/usr/lib' >> /etc/ld.so.conf ldconfig #執行完成後,看yum list是否能夠正常使用,若是能夠說明正常了 #準備安裝openssl find / -name openssl #不一樣版本會有不一樣的文件,對這些文件夾進行備份,以下 cp -r /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old cp -r /usr/bin/openssl /usr/bin/openssl.old cp -r /usr/lib64/openssl /usr/lib64/openssl.old cp /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.10.old #注意這兩個是庫文件,也須要先備份一下 cp /usr/lib64/libssl.so.10 /usr/lib64/libssl.so.10.old #rpm -qa|grep openssl #對返回的結果進行卸載,以下,不一樣版本也會是不一樣的文件 #rpm -e --nodeps openssl-1.0.1e-60.el7.x86_6457 rpm -qa |grep openssl|xargs -i rpm -e --nodeps {} #該命令至關於直接執行以上兩條命令 cd #tar -zxvf openssl-1.0.2o.tar.gz #cd openssl* #./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #在執行這裏的時候,會提示沒有安裝perl5,因此還須要安裝perl5 #cd #wget https://www.cpan.org/src/5.0/perl-5.28.0.tar.gz #tar -zxvf perl-5.28.0.tar.gz #在安裝openssl前,還須要先安裝好perl5 cd perl* ./Configure -des -Dprefix=$HOME/localperl make #這幾步操做都很耗時 make test #這裏可能提示失敗 cd t chmod +x ../cpan/File-Path/t/Path_root.t ../cpan/File-Path/t/Path_root.t ./perl -I../lib harness op/filetest.t #若是這裏提示所有成功了,應該就沒什麼問題 cd .. make install perl -v #檢測perl5是否安裝成功 cd .. cd openssl* ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #繼續安裝openssl make make test make install openssl version cd mv -f /usr/lib64/libcrypto.so.10.old /usr/lib64/libcrypto.so.10 #恢復原來的庫文件,由於新安裝的openssl沒包含這兩個庫文件 mv -f /usr/lib64/libssl.so.10.old /usr/lib64/libssl.so.10 openssl version #安裝openssh mv /etc/ssh /etc/ssh.old #開始準備安裝openssh #rpm -qa|grep openssh #rpm -e --nodeps openssh-5.3p1-94.el6.x86_64 #rpm -e --nodeps openssh-server-5.3p1-94.el6.x86_64 rpm -qa |grep openssh|xargs -i rpm -e --nodeps {} install -v -m700 -d /var/lib/sshd chown -v root:sys /var/lib/sshd groupadd -g 50 sshd useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd #tar -zxvf openssh-7.9p1.tar.gz cd openssh* ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd make make install 執行可能會提示WARNING: UNPROTECTED PRIVATE KEY FILE!緣由是下面幾個文件的權限問題,因此先執行如下命令 chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key ssh -V install -v -m755 contrib/ssh-copy-id /usr/bin install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1 install -v -m755 -d /usr/share/doc/openssh-7.9p1 install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.9p1 echo 'X11Forwarding yes' >> /etc/ssh/sshd_config cp -p contrib/redhat/sshd.init /etc/init.d/sshd chmod +x /etc/init.d/sshd chkconfig --add sshd chkconfig sshd on chkconfig --list sshd echo "PermitRootLogin yes" >>/etc/ssh/sshd_config #openssh7.9須要執行這個,默認配置文件禁止使用密碼登陸,不執行你就沒法經過ssh登陸
而後
#第三部分:
#經過telnet鏈接,重啓ssh服務
service sshd restart
ssh -V #提示ssh爲安裝的最新版本,升級成功
#!/bin/bash
#第四部分: #善後工做,取消telnet mv /etc/securetty.old /etc/securetty chkconfig xinetd off service xinetd stop
附加知識:
#版本回退,如需還原以前的ssh配置信息,可直接刪除升級後的配置信息,恢復備份。
rm -rf /etc/ssh
mv /etc/ssh.old /etc/ssh
有時候咱們還會遇到openssh已經升過級的狀況,並且安裝方式仍是編譯安裝的,很明顯上面的方式就不合適了
因此咱們的的rpm -qa|grep ssh卸載方式那裏須要換一下
find / -name ssh 通常會返回舊版本的安裝路徑,裏面包含舊版本號的就是舊openssh的安裝路徑
進入該路徑執行cp -r /etc/ssh /etc/ssh.old 先作一個備份,再執行make uninstall就能夠卸載了,其餘步驟跟上面類似
備註:第二次修改(應該沒有什麼特別大的問題了)