Centos6/Centos5下openssh升級到openssh-7.5p1
近日,國家信息安全漏洞共享平臺(CNVD)收錄了OpenSSH的多個漏洞(CNVD-2016-12688、CNVD-2016-12687、CNVD-2016-12686、CNVD-2016-12684,對應CVE-2016-10009、CVE-2016-10010、CVE-2016-10011、CVE-2016-10012)。綜合利用上述漏洞,攻擊者可執行任意代碼,提升權限至root權限,獲取本地敏感信息泄露,繞過某些安全限制執行未經授權的操作。
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:
官方網址為 https://www.openssh.com/
官方目前的最新版本為openssh-7.5p1
1. 在Centos6下安裝
Centos6下的安裝比較簡單,直接yum安裝依賴包
yum install gcc zlib-devel openssl openssl-devel wget
把老版本的ssh相關文件備份一下:
cp /etc/ssh/{sshd_config,sshd_config.bak}
cp /usr/sbin/{sshd,sshd.bak}
cp /usr/bin/{ssh,ssh.bak}
cp ~/.ssh/{authorized_keys,authorized_keys.bak}
下載openssh-7.5p1
cd /usr/local/src
wget https://mirrors.syringanetworks.net/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz
解壓
tar zxvf openssh-7.5p1.tar.gz
cd openssh-7.5p1
編譯安裝
./configure --sbindir=/usr/sbin/ --bindir=/usr/bin/ --sysconfdir=/etc/ssh/
make && make install
vi /etc/ssh/sshd_config
找到
#PermitRootLogin yes
修改為
PermitRootLogin yes
這裏不修改root用戶無法登陸,保存後重啟sshd
/etc/init.d/sshd restart
當前連接的ssh在測試未完成前千萬不要中斷,打開另一個終端進行測試,否則一但安裝有問題就連不上了。
2. 在Centos5下安裝
centos5下安裝openssh前需先安裝openssl:
先下載openssl
cd /usr/local/src
wget https://www.openssl.org/source/openssl-1.0.2l.tar.gz
解壓
tar zxvf openssl-1.0.2l.tar.gz
cd openssl-1.0.2l
編譯安裝,這裏使用共享編譯,防止openssh編譯時找不到庫文件
./config --prefix=/usr/local/ssl --shared
make && make install
為防止出現:error: OpenSSL version header not found.
執行下面操作:
vi /etc/ld.so.conf
增加下面這行
/usr/local/ssl/lib
保存後執行
ldconfig
接下來編譯安裝openssh,步驟和上面Centos6中的操作一樣。
3. 安裝完畢進行測試:
[[email protected] ~]# ssh -V
OpenSSH_7.5p1, OpenSSL 1.0.2l 25 May 2017
在客戶端用xhell登陸
以上顯示OpenSSH_7.5p1已經升級成功。
本文出自 “woymk” 博客,請務必保留此出處http://woymk.blog.51cto.com/10000269/1956463
Centos6/Centos5下openssh升級到openssh-7.5p1