2. 程式人生 > >CentOS下升級默認的OpenSSH(OpenSSH_5.3p1到OpenSSH_7.6p1)

CentOS下升級默認的OpenSSH(OpenSSH_5.3p1到OpenSSH_7.6p1)

阿新 發佈:2018-08-15
cred exists nic 攻擊 刪除 登錄 configure int fin

近期對IDC機房服務器做了一次安全漏洞掃描,漏掃結果顯示服務器的OpenSSH版本太低(CentOS6默認是OpenSSH_5.3p1),存在漏洞隱患,安全部門建議升級到OpenSSH_7.6p1。升級OpenSSH的操作並不復雜,但由於是線上環境,故需要謹慎操作。特別需要註意的是:如果是通過ssh遠程連接服務器後進行的版本升級操作,萬一升級失敗了,則ssh就遠程登錄不上去了。當然,如果服務器安裝了iDRAC遠程管理卡就好說了,如果沒有iDRAC遠程管理卡,則需要提前開啟telnet遠程登錄(允許root賬號登錄)或是到機房現場進行升級操作比較妥當!

一、漏洞描述
漏洞描述:OpenSSH 6.9及之前版本的sshd中的auth2-chall.c文件中的lsquokbdint_next_devicersquo函數存在安全漏洞,該漏洞源於程序沒有正確限制處理單鏈接中的keyboard-interactive設備。
影響範圍:OpenSSHthrough 6.9
涉及資產:xxxxxx  
漏洞影響:遠程攻擊者可借助ssh -oKbdInteractiveDevices選項中較長且重復的列表利用該漏洞實施暴力破解攻擊,或造成拒絕服務(CPU消耗)。
漏洞加固建議:登錄被影響主機查看OPENSSH版本號,如在影響範圍內,則對OPENSSH進行版本升級或更新。

下面分別介紹下Centos6和Centos7下針對OpenSSH版本升級的操作記錄

二、Centos6.9升級默認OpenSSH版本的操作記錄

查看操作系統版本
[root@Centos6 ~]# cat /etc/redhat-release       #或者執行"cat /etc/issue"
CentOS release 6.9 (Final)

查看默認的OpenSSH版本
[root@Centos6 ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

備份ssh目錄(此步非常重要,一定要記得提前做備份)
[root@Centos6 ~]# cp -rf /etc/ssh /etc/ssh.bak

安裝telnet,提前部署telnet遠程登錄環境(root用戶登錄),避免ssh升級出現問題,導致無法遠程管理!
[root@Centos6 ~]# yum install telnet-server
[root@Centos6 ~]# vim /etc/xinetd.d/telnet
# default: on
# description: The telnet server serves telnet sessions; it uses #       unencrypted username/password pairs for authentication.
service telnet
{
        flags           = REUSE
        socket_type     = stream        
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure  += USERID
        disable         = no                     #將默認的yes修改為no。telnet默認是不允許使用root賬號登錄,在此修改為允許root賬號登錄!
}

重啟telnet服務
[root@Centos6 ~]# /etc/init.d/xinetd start  
Starting xinetd:                                           [  OK  ]
[root@Centos6 ~]# /etc/init.d/xinetd restart
Stopping xinetd:                                           [  OK  ]
Starting xinetd:                                           [  OK  ]

telnet默認用於遠程登錄的端口是23(21是默認的ftp端口、22是默認的ssh端口、23是默認的telnet端口)
[root@Centos6 ~]# lsof -i:23
COMMAND    PID USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
xinetd    2489 root    5u  IPv6 22131982      0t0  TCP *:telnet (LISTEN)

關閉iptables防火墻和selinux。如果開啟了iptables防火墻,則需要開啟23端口。
[root@Centos6 ~]# /etc/init.d/iptables stop
[root@Centos6 ~]# vim /etc/sysconfig/selinux 
.......
SELINUX=disabled

[root@Centos6 ~]# setenforce 0
setenforce: SELinux is disabled

=====================================================================================================================
默認情況下,linux不允許root用戶以telnet方式登錄linux主機,若要允許root用戶登錄,可采取以下3種方法中的任何一種方法:

1)第一種方法:修改securetty文件
增加pts配置。如果登錄用戶較多,需要更多的pts/*。
[root@Centos6 ~]# vim /etc/securetty
......
pts/0
pts/1
pts/2

2)第二種方法:移除securetty文件
驗證規則設置在/etc/security文件中,該文件定義root用戶只能在tty1-tty6的終端上記錄,刪除該文件或者將其改名即可避開驗證規則實現root用戶遠程登錄。
[root@Centos6 ~]# rm -rf /etc/securetty

3)第三種方法:修改login文件
Linux中對於遠程登錄的限制體現在/etc/pam.d/login 文件中,如果把限制的內容註銷掉,那麽限制將不起作用。
[root@Centos6 ~]# vim /etc/pam.d/login
.......
#account    required     pam_nologin.so            //註釋掉改行內容

以上三種方法中的任意一種設置後,在客戶端使用telnet遠程登錄目標服務器(使用root用戶)都是可以的!
192.168.10.206是telnet目標服務器,192.168.10.202是客戶端機器。
[root@client ~]# telnet 192.168.10.206 23               
Trying 192.168.10.206...
Connected to 192.168.10.206.
Escape character is ‘^]‘.
CentOS release 6.9 (Final)
Kernel 2.6.32-696.el6.x86_64 on an x86_64
Centos6.9-OS login: root
Password: 
Last login: Tue Aug 14 14:28:02 from 192.168.10.202        

------------------------溫馨提示-------------------------
一般不建議直接用root用戶遠程通過telnet登陸系統,因為telnet在數據傳輸過程采用明文方式,如果,數據包被人截獲,將會很容易獲取root用戶的登陸口令;
還是建議以普通用戶通過telnet遠程登陸,然後su到root,這樣相對比較安全。如果非要用root用戶遠程連接,建議采用SSH.
如上操作後,就可以使用root賬號進行telnet登錄服務器了!OpenSSH升級後建議再修改回還原設置(即禁止root用戶進行telnet登錄)。

==========================================================================================================================

安裝高版本的OpenSSH
升級前需要先安裝幾個組件
[root@Centos6 ~]# yum install -y gcc openssl-devel pam-devel rpm-build

本案例升級openssh選擇的是openssh-7.6p1.tar.gz
百度下載地址是:https://pan.baidu.com/s/1C5B5ZZh_PRBNicvdzTxS2g
提取密碼:dssh

[root@Centos6 ~]# cd /usr/local/src/
[root@Centos6 src]# ll openssh-7.6p1.tar.gz 
-rw-rw-r-- 1 root root 1489788 Aug 14  2018 openssh-7.6p1.tar.gz
[root@Centos6 src]# tar -zvxf openssh-7.6p1.tar.gz 
[root@Centos6 src]# cd openssh-7.6p1
[root@Centos6 openssh-7.6p1]# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-tcp-wrappers
[root@Centos6 ~]# make && make install

安裝後提示:
/etc/ssh/ssh_config already exists, install will not overwrite
/etc/ssh/sshd_config already exists, install will not overwrite
/etc/ssh/moduli already exists, install will not overwrite
ssh-keygen: generating new host keys: ECDSA ED25519 
/usr/sbin/sshd -t -f /etc/ssh/sshd_config
/etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials

修改配置文件,允許root登錄
[root@Centos6 openssh-7.6p1]# sed -i ‘/^#PermitRootLogin/s/#PermitRootLogin yes/PermitRootLogin yes/‘ /etc/ssh/sshd_config
[root@Centos6 openssh-7.6p1]# cat /etc/ssh/sshd_config|grep RootLogin                                                     
PermitRootLogin yes

重啟OpenSSH
[root@Centos6 openssh-7.6p1]# service sshd restart                   
Stopping sshd:                                             [  OK  ]
Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials
                                                           [  OK  ]
如上重啟OpenSSH出現的告警錯誤,解決辦法如下:
將/etc/ssh/sshd_config文件中以上行數內容註釋下即可
[root@Centos6 openssh-7.6p1]# sed -i ‘/^GSSAPICleanupCredentials/s/GSSAPICleanupCredentials yes/#GSSAPICleanupCredentials yes/‘ /etc/ssh/sshd_config
[root@Centos6 openssh-7.6p1]# sed -i ‘/^GSSAPIAuthentication/s/GSSAPIAuthentication yes/#GSSAPIAuthentication yes/‘ /etc/ssh/sshd_config
[root@Centos6 openssh-7.6p1]# sed -i ‘/^GSSAPIAuthentication/s/GSSAPIAuthentication no/#GSSAPIAuthentication no/‘ /etc/ssh/sshd_config

再次重啟OpenSSH服務,則不會出現錯誤了
[root@Centos6 openssh-7.6p1]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

升級後版本
[root@Centos6 openssh-7.6p1]# ssh -V
OpenSSH_7.6p1, OpenSSL 1.0.1e-fips 11 Feb 2013

----------------------------------------------------------------------------------------------------
溫馨提示:
1)由於之前將原ssh目錄修改名字了("mv /etc/ssh /etc/ssh_bak"),修改後,需要立即需要修改下配置:

修改配置文件,禁止root登錄
[root@Centos6 ~]# sed -i ‘/^#PermitRootLogin/s/#PermitRootLogin yes/PermitRootLogin no/‘ /etc/ssh/sshd_config

可以不操作,禁止dns解析
[root@Centos6 ~]# sed -i ‘/^#UseDNS yes/s/#UseDNS yes/UseDNS no/‘ /etc/ssh/sshd_config

可以不操作默認是22,修改ssh端口至6022
[root@Centos6 ~]# echo "Port 6022" >> /etc/ssh/sshd_config

註意:
- 在升級SSH時你的SSH是不會因為升級或重啟服務而斷掉的。
- 但是記得OpenSSH升級後,要修改/etc/ssh/sshd_config,將"PermitRootLogin no" 改為 "/etc/ssh/sshd_config",然後再重啟OpenSSH服務,
  否則,再另開一個終端窗口,使用root用戶ssh登錄該機器就會失敗了,因為此時ssh已經禁止root用戶登錄了!

2)更新後ssh有如下提示,但不影響使用:
[root@Centos6 ~]# ssh -p22 192.168.10.206
/etc/ssh/ssh_config line 50: Unsupported option "gssapiauthentication"                                           

解決措施:
註釋/etc/ssh/ssh_config的gssapiauthentication內容
----------------------------------------------------------------------------------------------------

三、Centos7.5升級默認OpenSSH版本的操作記錄

CentOS下升級默認的OpenSSH(OpenSSH_5.3p1到OpenSSH_7.6p1)

相關推薦

CentOS升級OpenSSHOpenSSH_5.3p1到OpenSSH_7.6p1

cred exists nic 攻擊 刪除 登錄 configure int fin 近期對IDC機房服務器做了一次安全漏洞掃描,漏掃結果顯示服務器的OpenSSH版本太低(CentOS6默認是OpenSSH_5.3p1),存在漏洞隱患,安全部門建議升級到OpenSSH

CentOS 6升級python版本

pythonCentOS 6作為比較穩定的Linux服務器版本,已經在很多企業的生產環境中運行多年了。然而CentOS 6中原裝的python版本仍然為2.6,在開發過程中通常使用python2.7來進行開發。python2.7為python支持的最後一個2.x的版本,也是功能比較全面和穩定的版本。目前沒有轉

centos更換的python版本

解壓 博客 .html div del ESS rep 退出 html 1、在命令行輸入python查看版本 2、到官網下載自己的python版本 wget https://www.python.org/ftp/python/3.5.1/Python-3.5.1.

23. 客戶選項Default Customer Options

str mod java ber alt ava hide itl ext Editing Email Templates Email Sender Contact Us

LinuxMySQL5.7.18二進制包安裝配置文件my_default.cnf

一點 utf8 user 二進制 width which 密碼 用戶 location 本文出處:http://www.cnblogs.com/wy123/p/6815049.html 最新在學習MySQL,純新手,對Linux了解的也不多,因為是下載

修改Linux/Centos 7網卡名

linux centos eth0 在使用linux/Centos 7時可能大家會發現在安裝好系統後默認的網卡名是一個隨機數,在使用的過程中使用極為不便,linux/Centos 7的這種改變是因為在systemd和udev中引入新的網卡命名技術,可以在舊硬件壞了後更換新硬件後可以重命名設備

CentOS 7修改網卡名為eth0的兩種方法

修改網卡eth0第一種方式這種方式適合在安裝操作系統的時候進行設置,點擊 Tab,打開kernel啟動選項,增加內核參數: net.ifnames=0 biosdevname=0--->Enter回車第二種方式修改網卡配置文件中的 DEVICE= 參數的關於 eth0[root@ansheng ~]

centos升級node版本

head最新版的elasticsearch 在裝head插件的時候會報一個錯誤,這裏需要升級下node版本就好了npm install -g nn stablenode -vv9.0.0centos升級默認node版本

0xC0000005;Access Violation棧區空間很寶貴, linux上棧區空間認為8M,vc6棧空間大小為1M

str 操作 方法 匯編代碼 面經 不能訪問 應該 最好 出現 寫C/C++程序最怕出現這樣的提示了,還好是在調試環境下顯示出來的,在非調試狀態就直接崩潰退出. 從上述匯編代碼發現在取內存地址 eax+38h 的值時出錯, 那說明這個地

CentOS升級openssh

一、基礎環境 1、作業系統:CentOS 7.3 二、升級openssh 1、關閉ssh service sshd stop 2、安裝openssl(編譯時需要) 本文使用yum源為CentOS 7

【乾貨】CentOS升級openssh版本

前言 CentOS 6.x 和 7.x 的斷裂帶來很多麻煩,習慣SysV下面的init.d指令碼後,轉systemd很不適應,之前還花了點時間學systemd,但是可能是年齡大了,老是記不住命令,以後還是轉回ubuntu去吧。 一,安裝telnet 升級個

回車提交form表單問題

data method 新頁面 div 開發 multipart 一個 spl form表單 最近開發中碰到一個問題,項目中有幾個列表展示頁面,允許用戶通過查詢條件模糊查詢數據。用戶錄入關鍵字後點擊回車會調用查詢方法根據關鍵字查詢,原先功能沒有問題,但是最近發現在查詢輸入框

CentOS安裝XAMPP詳細教程

文件 sql user roc method 提示 ges 教程 comment 【原文】http://blog.csdn.net/hel12he/article/details/49781813 現在PHP的集成運行環境越來越多,個人比較喜歡XAMPP,更新速度快,好

Centos 7設定運行級別

centos 7設定默認運行級別Centos 7設定默認運行級別Centos7 中不再是使用 /etc/inittab 來配置運行級別,而是使用 systemd 來進行管理[[email protected]/* */ ~]# ll /lib/systemd/system/runlevel3.ta

在Unity3D項目中接入ShareSDK實現安卓平臺微信分享功能可使用ShareSDKUI或自定義UI

顯示 選項 dev template 腳本 配置文件 all 自己 show   最近公司的大廳要重做,我協助主程一起制作新大廳和新框架,前面制作的編輯器也派上了用場。等全部功能做完後我會再寫一個復盤,這兩天主程在忙於寫熱更新的功能,所以把接入分享SDK功能的任務交給了我,

css取消input、select樣式手機端

dex pear put nta 會有 bsp 制作 -a padding IOS端: border-color:transparent; andorid端: 僅僅使用上面的代碼還不夠,可以發現select框在某些瀏覽器(包括微信)內置瀏覽器下 還會有箭頭以及高亮

lamp架構-設置httpd的主機服務器多網站運行設置

apache httpd php 默認虛擬主機 單服務器運行多網站 httpd的默認虛擬主機 一臺服務器可以訪問多個,每個網站都是一個虛擬主機;一個httpd服務下面運行了多個網站、多個域名;註意:任何一個域名解析到這臺機器,都可以訪問的虛擬主機就是默認虛擬主機,本身機器運行網站除外;

Linux(Centos)調整分區大小以home和根分區為例

vertical speech col 信息 卸載 記錄 jsb 大小 control 在安裝新系統的時候,有時候沒法預估或者說錯誤的劃分了分區大小,常常會導致我們後面的操作出現極大地不方便,比如某個分區分的太小了,導致 軟件安裝的時候會報安裝空間不夠,這就很麻煩。在

CentOS 7 與 CentOS 6修改SSH端口實戰筆記

修改默認SSH端口(一)、vim /etc/ssh/sshd_config找到#Port 22, 在此行下增加新端口號10000。挑10000~65535之間的端口號。(二)、查selinux開放給ssh使用的端口。①semanage port -l |grep ssh②semanage port -a

CentOS設置啟動命令行(不啟動圖形界面)

sam init 文件 mat work upstart dos 運行 itl https://www.cnblogs.com/java-xz/p/7351867.html CentOS中如何進入圖形界面和文字界面,Linux真正的服務器是不會運行圖形化界面的,怎麽樣