本文章所使用的的相關環境說明：

作業系統：CentOS Linux release 7.5.1804 (Core) （新環境）

第三方yum源：（可百度自行尋找並配置，如：清華大學源，163源，搜狐、阿里雲yum源等國內第三方yum源都可以）

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

通過升級SSH服務修復安全漏洞

SSH服務用於遠端連線伺服器，但是如果ssh服務存在漏洞，黑客就可以通過ssh服務遠端控制伺服器。

例如：以下版本範圍內都存在漏洞。

更新ssh版本修復漏洞

版本升級的兩種方法：（本文章推薦使用第二種編譯安裝方式）

方法一：使用yum升級ssh的版本

如果你的ssh版本過低可以通過yum直接升級sshd服務。如果可以使用yum升級儘量使用yum進行升級，因為yum升級維護起來很方便。

先看一下當前的ssh版本

此方法需要自行尋找一下第三方openssh的最新版本的yum倉庫地址，並在本地配置後方可使用yum直接升級

[root@servera ~]# yum update openssh -y

方法二：原始碼編譯安裝openssh

如果想安裝到最新版本的openssh則需要使用原始碼安裝。

配置備用連線方式telnet，以防止配置失敗不能連線伺服器。

[root@servera ~]# yum install xinetd telnet-server -y

檢查配置檔案，如果存在/etc/xinetd.d/telnet檔案則需要修改配置使root使用者可以通過telnet登陸，如果不存在該檔案則無需配置。

[root@servera ~]# ll /etc/xinetd.d/telnet
ls: cannot access /etc/xinetd.d/telnet: No such file or directory

擴充套件：/etc/xinetd.d/telnet檔案配置
改：
  disable = no
為：
  disable = yes
 

配置telnet登入的終端型別，新增pst終端，檔案末尾新增即可。

[root@servera ~]# vim /etc/securett
pts/0
pts/1
pts/2
pts/3

配置開機自啟
systemctl enable xinetd && systemctl start xinetd
systemctl start telnet.socket

telnet連線伺服器，xshell協議選擇telnet。

確定-登入連線，輸入root使用者和密碼登入到伺服器

1、先安裝相關的依賴庫：

yum -y install gcc gcc-c++ zlib zlib-devel openssl openssl-devel pam-devel libselinux-devel

2、下載openssh的原始碼包

wget -c https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.3p1.tar.gz

3、先備份一下現有的ssh配置檔案

mkdir /opt/sshbak &&  mv /etc/ssh/*  /opt/sshbak/

4、建立新的安裝目錄

mkdir /usr/local/sshd

5、解壓原始碼包，進行編譯安裝

[root@servera ~]# tar xf openssh-8.3p1.tar.gz -C /usr/local/src/  
# 進入到原始碼目錄下，開始檢查環境、編譯、安裝等
[root@servera ~]# cd /usr/local/src/openssh-8.3p1/
[root@servera openssh-8.3p1]# ./configure --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/usr/local/sshd/ --sysconfdir=/etc/ssh && make -j4 && make install

編譯安裝完成！

6、修改sshd服務端的新配置檔案，使root使用者可以遠端登入。（建議先備份一下/etc/ssh/下生成的相關配置檔案，也可以直接把之前的配置檔案copy到此目錄下使用）

備份新生成的檔案
# cp -a /etc/ssh/*  /bak/sshbak-`date +%F`

#修改服務端配置檔案
[root@servera openssh-8.3p1]# vim /etc/ssh/sshd_config
# ①允許root遠端登入
改：
32 #PermitRootLogin prohibit-password
為：
32 PermitRootLogin yes

② 允許使用公鑰認證
改：（去掉註釋即可）
37 #PubkeyAuthentication yes
為：
37 PubkeyAuthentication yes

# 禁止解析
改：（去掉註釋即可，此處是優化項如果使用DNS解析速度會很慢）
98 #UseDNS no
為：
98 UseDNS no 

7、拷貝開機啟動指令碼

拷貝開機啟動指令碼
[root@servera openssh-8.3p1]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd
# 使用sed或手動修改一下啟動指令碼中的路徑資訊
[root@servera openssh-8.3p1]# sed -i 's#SSHD=/usr/sbin/sshd#SSHD=/usr/local/sbin/sshd#g' /etc/init.d/sshd
[root@servera openssh-8.3p1]# sed -i 's#/usr/bin/ssh-keygen#/usr/local/bin/ssh-keygen#g' /etc/init.d/sshd

8、加入到開機啟動服務列表並設定為開機自啟動

chkconfig --add sshd  && chkconfig sshd on

刪除或移走原有的sshd服務啟動指令碼

[root@servera openssh-8.3p1]# mv /usr/lib/systemd/system/sshd.service /opt/sshbak/

服務管理測試

/etc/init.d/sshd restart
netstat -ntup | grep 22

先檢視一下ssh的版本和服務狀態

使用遠端工具連線到伺服器，此時ssh的版本已升級為8.3版本，升級成功

sshd服務成功登入後可以禁用telnet服務

systemctl disable xinetd.service && systemctl stop xinetd.service
systemctl disable telnet.socket && systemctl stop telnet.socket

如果想要隱藏掉遠端登入時的版本資訊內容，可以使用以下方法重新編譯安裝即可

重新編譯安裝ssh，使其連線時遮蔽SSHD版本資訊，提升安全性

[root@servera openssh-8.3p1]# cd /usr/local/src/openssh-8.3p1

[root@servera openssh-8.3p1]# vim version.h
改：第3行內容
 3 #define SSH_VERSION   "OpenSSH_8.3" 

為：修改為
 3 #define SSH_VERSION   "ctyun_cloud"

再次編譯安裝

[root@servera openssh-8.3p1]# ./configure --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/usr/local/sshd/ --sysconfdir=/etc/ssh  && make -j4 && make install

# 重新編譯不會改變配置檔案，直接重新啟動服務使版本資訊生效
systemctl restart sshd

新建選項卡連線sshd，此時ssh的版本資訊已被修改為我們自定義的版本資訊內容