Centos7 OpenSSH漏洞整改
OpenSSHow漏洞风险提示,因此需要进行升级整改
一、安装telnet(以防升级失败,ssh连不上服务器)
1、查看是否已经安装telnet服务
[root@localhost ~]# rpm -qa|grep telnet
[root@localhost ~]# rpm -qa|grep xinetd2、yum安装
[root@localhost ~]# yum -y install telnet*
[root@localhost ~]# yum -y install xinetd3、启动telnet服务并设置自动启动
[root@localhost ~]# systemctl enable xinetd.service
[root@localhost ~]# systemctl start xinetd.service[root@localhost ~]# systemctl enable telnet.socket
[root@localhost ~]# systemctl start telnet.socket4、添加
#在文本最后添加
[root@localhost ~]# vi /etc/securetty
pts/0
pts/1
pts/2#查看
[root@localhost ~]# tail -3 /etc/securetty
pts/0
pts/1
pts/25、重启服务并查看端口
[root@localhost ~]# systemctl restart xinetd
[root@localhost ~]# ss -ntlp|grep 23
LISTEN 0 128 :::23 :::* users:(("systemd",pid=1,fd=43))二、升级OpenSSl
1、查看系统原版本
[root@localhost ~]# openssl version
OpenSSL 1.0.2k-fips 26 Jan 20172、下载https://ftp.openssl.org/source/
3、安装依赖包
[root@localhost ~]# yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel pam* zlib*4、解压
[root@localhost ~]# tar zxvf openssl-1.1.1k.tar.gz 5、检测环境
[root@localhost ~]# cd openssl-1.1.1k
[root@localhost openssl-1.1.1k]# ./config --prefix=/usr/local/openssl
6、编译并安装
[root@localhost openssl-1.1.1k]# make && make install7、替换当前系统的旧版本openssl(先保存原来的)
[root@localhost openssl-1.1.1k]# which openssl
/usr/bin/openssl
[root@localhost openssl-1.1.1k]# mv /usr/bin/openssl /usr/bin/openssl.old
[root@localhost openssl-1.1.1k]# mv /usr/lib64/openssl /usr/lib64/openssl.old
[root@localhost openssl-1.1.1k]# mv /usr/lib64/libssl.so /usr/lib64/libssl.so.old[root@localhost openssl-1.1.1k]# ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
[root@localhost openssl-1.1.1k]# ln -s /usr/local/openssl/include/openssl /usr/include/openssl
[root@localhost openssl-1.1.1k]# ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so
[root@localhost openssl-1.1.1k]# echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
[root@localhost openssl-1.1.1k]# ldconfig -v8、确认版本
三、升级openssh
1、查看系统原版本
[root@localhost ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 20172、下载https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/
3、解压
[root@localhost ~]# tar zxvf openssh-8.6p1.tar.gz 4、移除旧版本
#移除之后,不能退出当前终端。若退出,只能通过telnet连接
[root@localhost ~]# mv /etc/ssh /etc/ssh.old5、编译并安装
[root@localhost ~]# cd openssh-8.6p1
[root@localhost openssh-8.6p1]# ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening[root@localhost openssh-8.6p1]# make && make install6、修改启动脚本
#拷贝启动脚本
[root@localhost openssh-8.6p1]# cp ./contrib/redhat/sshd.init /etc/init.d/sshd#修改启动脚本
[root@localhost openssh-8.6p1]# vi /etc/init.d/sshd#按如下图修改,需要注意,此路径是你安装新版本的openssh路径,根据你的实际情况修改
SSHD=/usr/local/openssh/sbin/sshd
7、修改sshd配置文件/etc/ssh/sshd_config
#直接用root登录终端(此处根据自身情况考虑)
[root@localhost openssh-8.6p1]# echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
#设置是否允许X11转发
[root@localhost openssh-8.6p1]# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
#是否允许密码验证
[root@localhost openssh-8.6p1]# echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config8、卸载原有ssh(先安装后卸载,也是怕升级失败)
for i in $(rpm -qa |grep openssh);do rpm -e $i --nodeps ;done提示告警
将警告中被修改的文件名字再改回来
[root@localhost ~]# mv /etc/ssh/ssh_config.rpmsave /etc/ssh/ssh_config
[root@localhost ~]# mv /etc/ssh/sshd_config.rpmsave /etc/ssh/sshd_config
[root@localhost ~]# mv /etc/ssh/moduli.rpmsave /etc/ssh/moduli9、替换相关命令,并重启sshd服务
[root@localhost ~]# cp -arp /usr/local/openssh/bin/* /usr/bin/
[root@localhost ~]# systemctl restart sshd10、验证升级版本
11、设置开机启动
[root@localhost ~]# systemctl enable sshd12、ssh正常登陆之后为了系统安全,需要停用telnet服务
[root@localhost ~]# systemctl stop xinetd
[root@localhost ~]# systemctl disable xinetd[root@localhost ~]# systemctl stop telnet.socket
[root@localhost ~]# systemctl disable telnet.socket四、隐藏openssh版本号
修改ssh默认端口之后,版本号也想隐藏
1、(重点)要在执行编译步骤之前修改version.h文件
[root@localhost ~]# cd openssh-8.6p1
[root@localhost openssh-8.6p1]# vi version.h /* $OpenBSD: version.h,v 1.90 2021/04/16 03:42:00 djm Exp $ */#define SSH_VERSION "OpenSSH_8.6"#define SSH_PORTABLE "p1"
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE修改前,删除版本号
修改后
2、接着按照第三大点执行编译和后面的步骤即可
3、再次查看已经没有版本号
4、再次扫描查看
Centos7 OpenSSH漏洞整改相关推荐
- 如何制止OpenSSH漏洞?
Michael Cobb:OpenSSH是一个免费的基于SSH协议的有关安全的网络层实用工具.可在绝大多数基于Linux的系统上使用,也可以在许多网络基础设施设备上使用,它为远程登录和远程文件传输等网 ...
- 网站漏洞整改报告公司之攻防方案
云计算等技术极大地促进了服务器资源的分配和系统的部署,但随之而来的是资产管理中的安全风险.有些人没有及时回收资源和更新资产,在网上形成了僵尸主机,很容易成为攻击者的肉机.为有效保障企业工作的发展,相关 ...
- Nginx心脏出血漏洞整改脚本【原创】
nginx心脏出血漏洞整改要查看nginx用到的OpenSSL版本,此实例用的openssl-1.0.2o版本. 一般nginx的安装路径是在/usr/local/nginx,进入该目录,执行ngin ...
- 关闭openssh服务_关于redhat7的openssh漏洞升级修复方法
点击上方蓝字关注我们 今日互动话题 今年的圣诞节你想怎么过? 好好学习下openssh版本如何升级修复低版本漏洞吧 由于openssh爆出一个特殊漏洞,涉及到8.3p1及以下版本,升级到8.4p1版本 ...
- openssh漏洞_技术干货 | OpenSSH命令注入漏洞复现(CVE202015778)
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作! 欢迎各位添加 ...
- 安全漏洞整改解决方案
注意:以下所有操作須结合实际情况,确认后再实施. 1. OpenSSH 相关漏洞 解决方案 升级OpenSSH为最新版本,目前为5.9,首先到官网(http://www.openssh.com/po ...
- 关于Open SSL高危漏洞整改操作 -- AIX 整改措施
1.背景信息 OpenSSL补丁包的打包方式不同,呈现出的版本号也不一致.如果查询出的版本号在如下三个版本范围之内,则均表示涉及漏洞的整改. OpenSSL版本低于openssl-1.0.1.512 ...
- openssh漏洞_漏洞预警 | OpenSSH 命令注入漏洞
0x00 漏洞编号 CVE-2020-15778 0x01 危险等级 高危 0x02 漏洞概述 OpenSSH 8.3 p1及之前版本中的scp的scp.c文件存在命令注入漏洞.该漏洞源于外部输入数 ...
- weblogic中间件WLS(bea_wls_internal)组件敏感信息泄露漏洞整改
近期负责的系统weblogic中间件bea_wls_internal被查出存在wls组件敏感信息泄露漏洞,访问漏洞地址如下: 针对上述漏洞,做过如下测试,整改未生效. 删除bea_wls_intern ...
最新文章
- visual studio spy使用实现后台按键_多种精华液应该如何叠加使用?
- Java:main()函数调用类中方法的限制
- IPC进程间通信 D-Bus(Desktop Bus)快速入门(以libdbus-glib库为例)
- nginx没有worker进程_如何优雅地关闭worker进程?
- Android 项目在Eclipse中的目录结构
- 免费制作微信小程序开发关于旅游_教大家怎么一步步免费自己做微信小程序
- javascript Control flow(控制语句)
- [设计模式-结构型]享元模式(Flyweight )
- ps cs6导出html,渲染视频使用不了是怎么回事?pscs6ex – 手机爱问
- matlab cplex 死机,matlab Cplex使用
- 多种电压转换的电路设计方案
- 自动采集收录导航源码
- ae,me,pr功能区别
- git时出现rejected
- python——通信原理,进程与线程
- 由爱故生忧,由爱故生怖,若离于爱者,无忧亦无怖。
- 基于统计复用的分组交换网络拥塞控制的科普解释
- 基于python的比价系统
- html5 智能家居 页面,内容二 - html5智能家居网站模板
- mqtt 传文件断开连接的原因_mqtt服务器连上就断开
热门文章
- 关于自己抵触《辩论赛》一讲
- 互金中概股“带伤转型”始末
- 网络营销教程—SEO 第一章 网络营销 (上)
- 代号斗罗显示服务器暂未开放,斗罗大陆魂师对决一区进不去 一区无法进入怎么办...
- 【研一小白论文精读】《MASTERING ATARI WITH DISCRETE WORLD MODELS》
- cls extjs5_73. 解决ExtJS TreePanel 的 iconCls设置问题
- 输入法9键 VS 26键,哪个更适合?
- 用于数据库的新兴数据结构Succinct Data Structure
- cs8900的基地址
- 在python中股票的收盘价如何表示_Python:从字典中创建收盘股价的数据框架