2. 程式人生 > 實用技巧 >CentOS升級Openssh8.2版本

CentOS升級Openssh8.2版本

阿新 發佈:2020-08-06

背景描述

近期對100多臺伺服器進行漏洞掃描,發現都有一箇中危漏洞,openssh漏洞。該漏洞在openssh7.8版本以下都有該問題。故採用更新openssh版本進而修復漏洞。由於伺服器過多,不可能每一臺都去手動原始碼編譯安裝,故採用指令碼方式,再通過ansible進行批量更新。

這裡伺服器作業系統均為CentOS7.x系列

漏洞描述:

國家漏洞庫編號:CNNVD-201808-902

CNCVE編號:CNCVE-201815919

CVE編號:CVE-2018-15919

漏洞描述:OpenSSH(OpenBSD Secure Shell)是OpenBSD計劃組所維護的一套用於安全訪問遠端計算機的連線工具。該工具是SSH協議的開源實現,支援對所有的傳輸進行加密,可有效阻止竊聽、連線劫持以及其他網路級的攻擊。OpenSSH 7.8及之前版本中的auth-gss2.c檔案存在安全漏洞。遠端攻擊者可利用該漏洞檢測其指定的使用者是否存在。

 

編寫指令碼

該指令碼只支援CentOS7.x系列

openssh-update.sh

#!/bin/bash
# @Time   :2020/8/5 22:06
# @Auther :yanjie.li
# @Email  :[email protected]
# @File   :openssh-update.sh
# @Desc   :修復openssh7.8版本以下的漏洞,升級openssh版本為8.2版本。


echo 
echo -e "\033[40;31;1m*** 安裝完成後請勿立即退出當前終端(斷開連線),先新開終端進行連線測試ok後再關閉該終端 ***\033[0m"
echo 
echo "即將升級openssh"
sleep 10

# Check if user is root
if [ $(id -u) != "0" ]; then
    echo "Error: You must be root to run this script!!"
    exit 1
fi

base_dir=`pwd`

#下載安裝包:
openssh="openssh-8.2p1"
openssl="openssl-1.1.1f"


#Download the installation package
function download(){
    if [ ! -f ${openssh}.tar.gz ];then
        wget -c https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/${openssh}.tar.gz
    else
        echo 'Skipping: openssh already downloaded'
    fi
    
    if [ ! -f ${openssl}.tar.gz ];then
        wget -c wget https://ftp.openssl.org/source/old/1.1.1/${openssl}.tar.gz
    else
        echo 'Skipping:  openssl already downloaded'
    fi
}


#安裝依賴包
function install_relyon(){
    yum install -y telnet-server xinetd
    yum install  -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel
    yum install  -y pam* zlib*
    systemctl enable xinetd.service
    systemctl enable telnet.socket
    systemctl start telnet.socket
    systemctl start xinetd.service
    echo -e 'pts/0\npts/1\npts/2\npts/3'  >>/etc/securetty
    systemctl restart xinetd.service
    echo "telnet 啟動成功"
    sleep 3
    echo "########################################################"
}


#備份ssh
function back_ssh(){
   mkdir /tmp/ssh_backup/
   cp /root/.ssh/authorized_keys /tmp/ssh_backup/
   cp -r /etc/ssh/ /tmp/ssh_backup/
}


#安裝openssl
function install_openssl(){
    tar xfz ${base_dir}/openssl-1.1.1f.tar.gz
    echo "備份OpenSSL..."
    mv /usr/bin/openssl /usr/bin/openssl_bak
    mv /usr/include/openssl /usr/include/openssl_bak
    mv /usr/lib64/libssl.so /usr/lib64/libssl.so.bak
    echo "開始安裝OpenSSL..."
    sleep 3
    cd ${base_dir}/openssl-1.1.1f
    ./config shared --prefix=/usr/local/openssl && make -j 4 && make install -j 4
    
    ln -fs /usr/local/openssl/bin/openssl /usr/bin/openssl
    ln -fs /usr/local/openssl/include/openssl /usr/include/openssl
    ln -fs /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so
    
    echo "載入動態庫..."
    echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
    /sbin/ldconfig
    echo "檢視確認版本。。。"
    openssl version
    echo "OpenSSL 升級完成..."
}


#安裝openssh
function install_openssh(){
    echo "開始升級OPENSSH。。。。。"
    sleep 5
    cd ${base_dir}
    /usr/bin/tar -zxvf ${base_dir}/openssh-8.2p1.tar.gz
    cd ${base_dir}/openssh-8.2p1
    chown -R root.root ${base_dir}/openssh-8.2p1
    ./configure --prefix=/usr/ --sysconfdir=/etc/ssh  --with-openssl-includes=/usr/local/openssl/include \
     --with-ssl-dir=/usr/local/openssl   --with-zlib   --with-md5-passwords   --with-pam  && make -j 4 && make install -j 4
    
    [ $? -eq 0 ] && echo "openssh 升級成功..."
    cd ${base_dir}/openssh-8.2p1
    cp -a contrib/redhat/sshd.init /etc/init.d/sshd
    cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
}


# 配置ssh
function config_ssh(){
    chmod +x /etc/init.d/sshd
    chkconfig --add sshd
    chmod 600 /etc/ssh/ssh_host_ed25519_key
    chmod 600 /etc/ssh/ssh_host_rsa_key
    chmod 600 /etc/ssh/ssh_host_ecdsa_key
    systemctl enable sshd
    [ $? -eq 0 ] && echo "sshd服務新增為啟動項 ..."
    mv /usr/lib/systemd/system/sshd.service  /tmp/
    #允許root遠端登陸
    sed -i 's/#PermitRootLogin yes/PermitRootLogin yes/g' /etc/ssh/sshd_config
    #chkconfig sshd on
    systemctl enable sshd
    systemctl restart sshd.service
    netstat -lntp
    echo "檢視SSH版本資訊。。。"
    ssh -V
    sleep 3
    echo "telnet服務關閉..."
    systemctl disable xinetd.service
    systemctl stop xinetd.service
    systemctl disable telnet.socket
    systemctl stop telnet.socket
    echo "檢視ssh服務"
    netstat -lntp
    echo "OpenSSH 版本升級為8.2................"
    sleep 3
}

function main(){
    download
    install_relyon
    back_ssh
    install_openssl
    install_openssh
    config_ssh
    exit
}

main

連線伺服器執行指令碼

# bash openssh-update.sh

相關推薦

CentOS升級Openssh8.2版本

背景描述 近期對100多臺伺服器進行漏洞掃描,發現都有一箇中危漏洞,openssh漏洞。該漏洞在openssh7.8版本以下都有該問題。故採用更新openssh版本進而修復漏洞。由於伺服器過多,不可能每一臺都去手動原始碼編譯安裝

關於Linux自帶的python2.6.6升級2.7.10版本步驟詳解

CentOS 6 系統預設 Python 版本是:2.6.6 平時在使用中遇到很多的庫要求是 2.7.x 版本的庫,比如使用 ConfigParser 庫,在 2.6 版本庫就不支援沒有 value 值的配置項,需要升級2.7 以上的庫才行,這次就嘗試升級

榮耀 30/V30 等不限量開放華為鴻蒙 HarmonyOS 升級2.0.0.145 版本推送

7 月 19 日訊息 感謝網友熱心線索投遞,榮耀 V30/V30 Pro 現推送鴻蒙 2.0.0.145 版本更新(升級方式:服務 App > 升級嚐鮮 > 檢查更新),且服務 App 升級不限量開放。

centos升級glibc(升級2.17版)

轉載:https://www.cnblogs.com/wei9593/p/10491584.html 1、原先的系統glibc庫的版本2.12,需要升級2.17版本

Centos原始碼編譯升級指定核心版本

1.檢視當前核心版本: 使用的系統版本,當前日期CentOS最新版: [root@localhost ~]# cat /etc/redhat-releaseCentOS Linux release 8.4.2105

使用者體驗再升級!Erda 1.2 版本正式釋出

來源|爾達 Erda 公眾號 Erda v1.2 Changelog: https://github.com/erda-project/erda/blob/master/CHANGELOG/CHANGELOG-1.x.md

關於Openssh版本升級問題及版本升級到最新版8.7p1流程(CentOS系統)

前言:   對linux伺服器做過漏洞掃描的都知道,常常伺服器會被掃出一大堆關於openssh的漏洞,諸如下面這些,而其中的原因就是因為openssh版本比較低。於是就需要升級openssh的版本。下面就來解決一下這些問題。網

vue-cli版本號始終是2.9.6,以及升級到最新版本辦法

問題描述 遇到一種情況,就是使用vue --version 檢視版本始終是2.9.6,安裝命令是npm install @vue/cli ,按理說是最新版本,但是還是顯示舊版,使用vue create 【專案名稱】 提示是要解除安裝腳手架在安裝,但是安裝

Vite版本2.6.x升級2.7.x之後,Vant從3.3.0升級到3.3.(1-n)之後,專案構建時報錯

Vite和Vant版本差異引起的構建失敗(報錯) 某次升級一下專案中的部分依賴:

Linux運維記錄-Centos升級openssh到8.9版本

# 1、升級準備 注意:躲開幾個ssh連線,否則升級失敗ssh就連不上了cd /opt wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.9p1.tar.gz

ElasticSearch Log4j 版本升級2.17.2方法

我測試的專案通過阿里雲的檢測報告中提示 Log4j存在漏洞,需要升級該jar包。

SpringBoot2.2版本配置繫結是不是有點坑了?

SpringBoot版本升級相容性一直做的不是多麼的美麗,各個大分支之間由於底層使用的Srping版本不同,才導致的這種問題出現,而升級2.2.1.RELEASE版本之後又遇到一個配置繫結的坑。

? Hyperf 釋出 v1.1.2 版本 | 企業級的 PHP 微服務雲原生協程框架

本為 10 月 17 日釋出的文章,現同步至掘金 更新內容 本週更新主要為一個 bugfix 版本,我們修復了一些元件的 ?Bug,使 Hyperf 1.1.* 系列版本更加的健壯了,釋出於 1.1.2 版,建議使用 1.1 的使用者更新。

idea2019版與maven3.6.2版本不相容的解決方法

昨天遇到了點問題解決浪費了一些時間(導致更新內容較少)回顧下問題 專案出現Unable to import maven project: See logs for details

django2.2版本連線mysql資料庫的方法

一、執行專案報錯資訊如下: File \"/home/pyvip/.virtualenvs/myblog/lib/python3.6/site-packages/django/db/backends/mysql/base.py\",line 36,in <module>

最新IDEA永久啟用教程(支援最新2019.2版本)

此教程已支援最新2019.2版本 本教程適用Windows、Mac、Ubuntu等所有平臺。 啟用前準備工作

2.版本回退

1.狀態查詢 git status可以讓我們時刻掌握倉庫當前的狀態。 git diff檢視difference git status

更新win10 2004版本後開機很慢怎麼辦_升級win10 2004版本後開機很慢如何解決

很多使用者都選擇更新升級win10 2004版本,然而在更新完成之後,卻發現開機變得很慢,這是怎麼回事呢,我們可以嘗試在系統配置中進行修改或者高階屬性中設定的,下面給大家帶來升級win10 2004版本後開機很慢的詳細步

12C oracle 12.1.0.2版本打補丁

從support 1454618.1檔案 中可以下載到各版本的補丁和PSU。 此次採用的是28349311版本號的psu和28440711版本號的jvm。opatch版本號6880880_122010

python2.6升級2.7.7

準備工作 yum -y install zlib zlib-devel gcc python2.7 wget https://www.python.org/ftp/python/2.7.7/Python-2.7.7.tgz