SSH5.3版本升级到SSH7.1pa2

SSH5.3版本升级到SSH7.1pa2

   张吉吉     2019年11月18日 00:51     2928    

1

操作系统:REDHAT6.4系统

旧版本ssh5.3

新版本ssh7.1

 

2

为了修补SSH漏洞将ssh升级到最新版本,以下为SSH漏洞:

OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) 

OpenSSH   'schnorr.c'远程内存破坏漏洞(CVE-2014-1692) 

OpenSSH默认服务器配置拒绝服务漏洞(CVE-2010-5107) 

OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755) 

Portable OpenSSH   'ssh-keysign'本地未授权访问漏洞 

OpenSSH   auth_parse_options函数信任管理漏洞(CVE-2012-0814) 

OpenSSH   'ssh_gssapi_parse_ename()'函数拒绝服务漏洞 

OpenSSH 信息泄露漏洞(CVE-2011-4327) 

 

3

检查是否安装zlib-devel openssl-devel这两个包。如果不安装的话会提示以下错误:

configure: error: *** zlib.h missing - please install first or check config.log ***

configure: error: *** OPENSSL missing - please install first or check config.log ***

##rpm –qa | grep zlib-devel

##rpm –qa | grep openssl-devel

##rpm –qa | grep make

如果没有安装,需要进行安装

1

/etc/init.d下的sshd启动文件复制一份到其他目录:

##cp /etc/init.d/sshd ~

停止ssh服务

##Service sshd stop

在升级过程中,停止ssh服务后,一定不能关闭ssh窗口,否则再次连接就无法连接。

1.png

查看已经安装的rpm openssh

##rpm –qa | grep openssh

删除原有的rpm openssh

##rpm –e `rpm –qa | grep openssh`

 

2

ssh升级包传到对应服务器,将其进行解压。

##tar -zxvf openssh-7.1p2.tar.gz

进入解压的新版本openssh目录当中

##cd openssh-7.1p2

正式进行安装:

进行编译

##./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check

Prefix的安装路径最好是在/usr中,启动文件中的配置是/usr,如果不一样的话会造成服务无法启动,也可以更改/etc/init.d/sshd中的配置。

检查是否安装zlib-devel openssl-devel这两个包。如果不安装的话会提示以下错误:

configure: error: *** zlib.h missing - please install first or check config.log ***

configure: error: *** OPENSSL missing - please install first or check config.log ***

##rpm –qa | grep zlib-devel

##rpm –qa | grep openssl-devel

 

安装:

##make && make install

查看是否升级成功

#ssh V

2.png

sshd启动文件复制到/ec/init.d/

##cp /root/sshd /etc/init.d/

启动服务

##service sshd start

##cp ~/sshd /etc/init.d/sshd

 

当断开连接的时候,会提示密码不正确,是因为配置文件中需要进行配置

需要将这个注释去掉,并且改为以下样式:

##PermitRootLogin yes

 

Ssh的安全配置

sshd配置文件路径/etc/ssh/sshd_config

Protocol 2      #为使用的协议

X11Forwarding yes    #允许窗口图形传输使用ssh加密 yes允许

IgnoreRhosts yes     #完全禁止sshd使用.rhosts文件 yes禁止

RhostsAuthentication no #不设置使用基于rhosts的安全验证

RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全认证

HostbasedAuthentication no #不允许基于主机白名单的方式认证

PermitEmptyPasswords no #不允许空密码


给以下增加注释

#GSSAPICleanupCredentials no 是否在用户退出登录后自动销毁用户凭证缓存。默认值是"yes"。仅用于SSH-2

#GSSAPIAuthentication 是否允许使用基于 GSSAPI 的用户认证。默认值为"no"。仅用于SSH-2

#USEPAM=YES 使用pam认证 NO

修改后保存推出vim重启服务

 

文章评论

0

其他文章