由于生产环境ssh版本太低,导致使用安全软件扫描时提示系统处于异常不安全的状态,主要原因是ssh漏洞。推荐通过升级ssh版本修复漏洞
因为是生产环境,所以有很多问题需要注意。为了保险起见,在生产环境下做的任何升级之类的操作,最好先在测试环境中先测试一下,如果测试没问题再在生产环境中实施
系统环境:centos7.3
[root@localhost perl-5.28.0]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013
[root@localhost perl-5.28.0]# rpm -qa|grep zlib
zlib-1.2.7-17.el7.x86_64
有一个问题需要注意一下,那就是版本兼容问题。升级的openssh需要依赖于openssl和zlib,不同的openssh版本
下载地址
http://www.zlib.net/
https://www.openssl.org/source/ #这个下哪个版本一定要看openssh的要求,太高或者太低的版本都不行
http://www.openssh.com/portable.html
在安装过程中可能会提示perl5没安装,所以我们可能还需要安装perl5
http://www.perl.org/get.html#unix_like
注意一定要安装telnet并开启,否则ssh在升级过程中一旦出现什么问题,你就等着去机房操作吧。我就在升级过程中遇到过ssh服务重启失败的情况,导致无法ssh连接,还好有telnet-server,telnet安装好之后也要测试能连接成功
下面正式开始操作
#OS:centos6.5
#注意事项:其中第一、二、四部分在需要升级ssh版本的服务器上执行,第三步在其他机器上通过telnet连接执行,第三步之后才能执行第四步
#第一部分:要求,telnet测试成功
#第二部分:要求,ssh -V显示版本已更新,可以另开一个窗口ssh连接上去,yum list等也都可以正常使用
#第三部分:要求,通过telnet连接,重启ssh服务
#第四部分:要求,撤销开放的telnet连接,升级工作完成
#以下代码区域的命令可以直接复制到脚本内执行,按照以下步骤来
#!/bin/bash
#第一部分:这一部分需要根据实际情况修改,版本不同要修改对应的文件名
#下载压缩包
#注意查看新版openssh的zlib和openssl版本要求 http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/INSTALL
yum install wget -y #安装wget才能下载压缩包啊,如果一下地址失效,可以直接访问主页寻找下载的地方
wget http://www.zlib.net/zlib-1.2.11.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2q.tar.gz #注意最新版openssh不支持最新版本openssh
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
wget https://www.cpan.org/src/5.0/perl-5.28.0.tar.gz
#解压
tar -zxvf zlib* #输入zlib后直接按tab键回车即可
tar -zxvf openssl*
tar -zxvf perl* #在安装openssl前,还需要先安装好perl5
tar -zxvf openssh*
#删除压缩包,否则我们后面不好针对文件操作
rm -rf *.tar.gz
#telnet服务
yum -y install telnet-server* #以下内容为新增完善的,将xinetd里的telnet服务启用
cat > /etc/xinetd.d/telnet <<EOF
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no #启用telnet
}
<<EOF mv /etc/securetty /etc/securetty.old #允许root用户通过telnet登录
service xinetd start #启动telnet服务
chkconfig xinetd on #使telnet服务开机启动,避免升级过程中服务器意外重启后无法远程登录系统
service iptables stop
chkconfig --del iptables
setenforce
sed -i 's/=enforcing/=disabled/' /etc/selinux/config
echo "telnet设置完毕,请开启一个终端测试"
echo "opensshversion=解压后的openssh文件夹名,因为我们后面要用到openssh+版本这一文件名,所以在这里先赋值留给后面,例如opensshversion=openssh-7.9p1"
接着新开一个ssh连接窗口(一定要能通过telnet成功连接上去才可以):
#测试telnet功能,新开一个连接终端
telnet [ip]
#!/bin/bash
#第二部分:
#正式开始安装
#zlib的更新
yum install gcc pam-devel zlib-devel -y #提前安装好依赖
#tar -zxvf zlib-1.2..tar.gz #输入zlib后直接按tab键回车即可
#cd zlib-1.2.
cd zlib*
./configure --prefix=/usr #检查依赖关系
make #编译
rpm -e --nodeps zlib #卸载zlib
make install #开始安装
echo '/usr/lib' >> /etc/ld.so.conf
ldconfig #执行完成后,看yum list是否可以正常使用,如果可以说明正常了 #准备安装openssl
find / -name openssl #不同版本会有不同的文件,对这些文件夹进行备份,如下
cp -r /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old
cp -r /usr/bin/openssl /usr/bin/openssl.old
cp -r /usr/lib64/openssl /usr/lib64/openssl.old cp /usr/lib64/libcrypto.so. /usr/lib64/libcrypto.so..old #注意这两个是库文件,也需要先备份一下
cp /usr/lib64/libssl.so. /usr/lib64/libssl.so..old
#rpm -qa|grep openssl #对返回的结果进行卸载,如下,不同版本也会是不同的文件
#rpm -e --nodeps openssl-1.0.1e-.el7.x86_6457
rpm -qa |grep openssl|xargs -i rpm -e --nodeps {} #该命令相当于直接执行以上两条命令
cd
#tar -zxvf openssl-1.0.2o.tar.gz
#cd openssl*
#./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #在执行这里的时候,会提示没有安装perl5,所以还需要安装perl5
#cd
#wget https://www.cpan.org/src/5.0/perl-5.28.0.tar.gz
#tar -zxvf perl-5.28..tar.gz #在安装openssl前,还需要先安装好perl5
cd perl*
./Configure -des -Dprefix=$HOME/localperl
make #这几步操作都很耗时
make test #这里可能提示失败
cd t
chmod +x ../cpan/File-Path/t/Path_root.t
../cpan/File-Path/t/Path_root.t
./perl -I../lib harness op/filetest.t #如果这里提示全部成功了,应该就没什么问题
cd ..
make install
perl -v #检测perl5是否安装成功
cd ..
cd openssl*
./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #继续安装openssl
make
make test
make install
openssl version
cd
mv -f /usr/lib64/libcrypto.so..old /usr/lib64/libcrypto.so. #恢复原来的库文件,因为新安装的openssl没包含这两个库文件
mv -f /usr/lib64/libssl.so..old /usr/lib64/libssl.so.
openssl version #安装openssh
mv /etc/ssh /etc/ssh.old #开始准备安装openssh
#rpm -qa|grep openssh
#rpm -e --nodeps openssh-.3p1-.el6.x86_64
#rpm -e --nodeps openssh-server-.3p1-.el6.x86_64
rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}
install -v -m700 -d /var/lib/sshd
chown -v root:sys /var/lib/sshd
groupadd -g sshd
useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u sshd
#tar -zxvf openssh-.9p1.tar.gz
cd openssh*
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd
make
make install 执行可能会提示WARNING: UNPROTECTED PRIVATE KEY FILE!原因是下面几个文件的权限问题,所以先执行以下命令
chmod /etc/ssh/ssh_host_rsa_key
chmod /etc/ssh/ssh_host_ecdsa_key
chmod /etc/ssh/ssh_host_ed25519_key
ssh -V
install -v -m755 contrib/ssh-copy-id /usr/bin
install -v -m644 contrib/ssh-copy-id. /usr/share/man/man1
install -v -m755 -d /usr/share/doc/openssh-.9p1
install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-.9p1
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
chkconfig --add sshd
chkconfig sshd on
chkconfig --list sshd
echo "PermitRootLogin yes" >>/etc/ssh/sshd_config #openssh7.9需要执行这个,默认配置文件禁止使用密码登录,不执行你就无法通过ssh登录
然后
#第三部分:
#通过telnet连接,重启ssh服务
service sshd restart
ssh -V #提示ssh为安装的最新版本,升级成功
#!/bin/bash
#第四部分:
#善后工作,取消telnet
mv /etc/securetty.old /etc/securetty
chkconfig xinetd off
service xinetd stop
附加知识:
#版本回退,如需还原之前的ssh配置信息,可直接删除升级后的配置信息,恢复备份。
rm -rf /etc/ssh
mv /etc/ssh.old /etc/ssh
有时候我们还会遇到openssh已经升过级的情况,而且安装方式还是编译安装的,很明显上面的方式就不合适了
所以我们的的rpm -qa|grep ssh卸载方式那里需要换一下
find / -name ssh 一般会返回旧版本的安装路径,里面包含旧版本号的就是旧openssh的安装路径
进入该路径执行cp -r /etc/ssh /etc/ssh.old 先做一个备份,再执行make uninstall就可以卸载了,其他步骤跟上面相似
备注:第二次修改(应该没有什么特别大的问题了)