点击上方蓝字关注我们

今日互动话题

今年的圣诞节你想怎么过？

好好学习下openssh版本如何升级修复低版本漏洞吧

由于openssh爆出一个特殊漏洞，涉及到8.3p1及以下版本，升级到8.4p1版本进行漏洞修复。

首先我们需要检查当前环境：

[root@test]# ssh -V

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

为保证顺利升级：

注意：如果机器做过安全基线整改，建议先自行备份/etc/pam.d/sshd文件，升级后，此文件会被覆盖，如果未修改过，按照文章后续的进行覆盖即可。亦请务必确定系统版本为：CentOS7。

首先我们需要下载8.4p1升级包：

可通过以下网址下载：

wget https://cikeblog.com/s/openssh8.4-6.zip

然后我们进行解压：

unzip openssh8.4-6.zip 

下面开始安装：注意需要在root权限下执行

安装方法一：

rpm -Uvh *.rpm

安装方法二(此方法会自动处理依懒关系)：

yum install ./*.rpm

部分机器使用方法二安装会提示依赖问题，这里强烈推荐使用以下方法进行升级：

yum update *.rpm

安装成功未报错，至此，升级完成，如果之前升级过的，下面的就不用看了，直接新开SSH终端连接即可。我们通过命令ssh -V查看版本已经为8.4p1。然后我们用systemctl status sshd查看发现服务状态异常。

因为OPENSSH升级后，/etc/ssh/sshd_config会还原至默认状态，我们需要进行相应配置：

首先执行：cd /etc/ssh/

然后依次执行以下命令

chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key

echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

echo "PasswordAuthentication yes"  >> /etc/ssh/sshd_config

systemctl restart sshd

注意：升级后重启SSH可能出现以下错误：

It is required that your private key files are NOT accessible by others.

This private key will be ignored.

Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions

Unable to load host key: /etc/ssh/ssh_host_ed25519_key

sshd: no hostkeys available -- exiting.

[FAILED]

sshd.service: control process exited, code=exited status=1

Failed to start SYSV: OpenSSH server daemon.

Unit sshd.service entered failed state.

sshd.service failed.

解决办法：

chmod 0600 /etc/ssh/ssh_host_ed25519_key

service sshd restart

即可解决。

注意，/etc/pam.d/sshd这个文件也会被覆盖，我们需要进行还原：首先清空配置文件，执行如下命令：

>/etc/pam.d/sshd;

然后再还原，复制以下所有命令一次性执行：

echo '#%PAM-1.0

auth       required     pam_sepermit.so

auth       include      password-auth

account    required     pam_nologin.so

account    include      password-auth

password   include      password-auth

# pam_selinux.so close should be the first session rule

session    required     pam_selinux.so close

session    required     pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session    required     pam_selinux.so open env_params

session    optional     pam_keyinit.so force revoke

session    include      password-auth'>/etc/pam.d/sshd

至此，升级完成，此时先别关闭终端，我们直接新开一个终端，连接到服务器做连通性测试。

注意：如果新开终端连接的时候 ，root密码报错，并且已经根据上面进行后续操作，那可能就是SElinux的问题，我们可以进行临时禁用：

setenforce 0 

即可正常登录，然后我们修改/etc/selinux/config 文件，执行以下命令：

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config 

进行永久禁用SElinux即可。

然后我们在新开一个终端连接到服务器进行测试，发现连接成功，再次使用ssh -V进行查看版本，如下：

[ydp@localhost ~]$ ssh -V

OpenSSH_8.4p1, OpenSSL 1.0.1e-fips 11 Feb 2013

最后我们再使用systemctl status sshd查看服务状态，显示服务正常：

[ydp@localhost ~]$ systemctl status sshd

● sshd.service - SYSV: OpenSSH server daemon

Loaded: loaded (/etc/rc.d/init.d/sshd; bad; vendor preset: enabled)

Active: active (running) since Thu 2020-12-17 23:31:58 CST; 32min ago

Docs: man:systemd-sysv-generator(8)

Process: 11886 ExecStop=/etc/rc.d/init.d/sshd stop (code=exited, status=0/SUCCESS)

Process: 11896 ExecStart=/etc/rc.d/init.d/sshd start (code=exited, status=0/SUCCESS)

Main PID: 11904 (sshd)

Tasks: 4

CGroup: /system.slice/sshd.service

├─11904 sshd: /usr/sbin/sshd [listener] 0 of 10-100 startups

├─12084 sshd: ydp [priv]

├─12086 sshd: ydp@notty

└─12087 /usr/libexec/openssh/sftp-server

本次分享就到这里了，下次再会！

关注ICTworker加星标，提升ICT技能

喜欢就点个在看再走吧