CentOS7.6系统OpenSSH升级到openssh-9.3p2(漏洞修复)_openssh 9.3p2之前版本存在安全漏洞-程序员宅基地
前言
CentOS 7.6系统自带的ssh版本太老了,存在漏洞例如:
OpenSSH 代码问题漏洞CVE-2023-38408: OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。
OpenSSH client 安全漏洞CVE-2016-1908:OpenSSH 7.2之前的版本中的client存在安全漏洞,该漏洞源于程序没有正确的处理生成身份验证cookie失败的情况。攻击者可利用该漏洞获取信任的X11转发权限。
OpenSSH J-PAKE授权问题漏洞CVE-2010-4478: 当J-PAKE启用时,OpenSSH 5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可以通过发送每一轮协议中的特制值绕过共享秘密信息的需求,并成功获得认证。
》》》
所以避免这些漏洞被利用,需要进行升级修复。本文教程适用升级到OpenSSH 9.3/9.3p1/9.3p2、OpenSSH 9.4/9.4p1、OpenSSH 9.5/9.5p1、OpenSSH 9.6/9.6p1。
升级OpenSSH的过程会需要依赖ZLIB、Perl、OpenSSL,升级OpenSSL可能会报错,可能还需要依赖PAM。所以先要离线下载这些依赖对应的包:zlib-1.2.13.tar.gz,perl-5.38.0.tar.gz,Linux-PAM-1.3.1.tar.xz,openssl-1.1.1w.tar.gz,openssh-9.3p2.tar.gz。(这也是安装的顺序)
注意:为避免升级openssh过程中断联,请安装telnet-server、telnet、xinetd。
1、安装/升级 zlib
tar -zxvf zlib-1.2.13.tar.gz
cd zlib-1.2.13
./configure --prefix=/usr/zlib
编译安装:
make && make install[root@localhost zlib-1.2.13]# ./configure --prefix=/usr/zlib
Checking for gcc...
Checking for shared library support...
Building shared library libz.so.1.2.13 with gcc.
Checking for size_t... Yes.
Checking for off64_t... Yes.
Checking for fseeko... Yes.
Checking for strerror... Yes.
Checking for unistd.h... Yes.
Checking for stdarg.h... Yes.
Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().
Checking for vsnprintf() in stdio.h... Yes.
Checking for return value of vsnprintf()... Yes.
Checking for attribute(visibility) support... Yes.
[root@localhost zlib-1.2.13]# make && make install
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o adler32.o adler32.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o crc32.o crc32.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o deflate.o deflate.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o infback.o infback.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inffast.o inffast.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inflate.o inflate.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inftrees.o inftrees.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o trees.o trees.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o zutil.o zutil.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o compress.o compress.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o uncompr.o uncompr.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzclose.o gzclose.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzlib.o gzlib.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzread.o gzread.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzwrite.o gzwrite.c
ar rc libz.a adler32.o crc32.o deflate.o infback.o inffast.o inflate.o inftrees.o trees.o zutil.o compress.o uncompr.o gzclose.o gzlib.o gzread.o gzwrite.o
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example example.o -L. libz.a
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o minigzip.o test/minigzip.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip minigzip.o -L. libz.a
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/adler32.o adler32.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/crc32.o crc32.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/deflate.o deflate.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/infback.o infback.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inffast.o inffast.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inflate.o inflate.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inftrees.o inftrees.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/trees.o trees.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/zutil.o zutil.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/compress.o compress.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/uncompr.o uncompr.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzclose.o gzclose.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzlib.o gzlib.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzread.o gzread.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzwrite.o gzwrite.c
gcc -shared -Wl,-soname,libz.so.1,--version-script,zlib.map -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o libz.so.1.2.13 adler32.lo crc32.lo deflate.lo infback.lo inffast.lo inflate.lo inftrees.lo trees.lo zutil.lo compress.lo uncompr.lo gzclose.lo gzlib.lo gzread.lo gzwrite.lo -lc
rm -f libz.so libz.so.1
ln -s libz.so.1.2.13 libz.so
ln -s libz.so.1.2.13 libz.so.1
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o examplesh example.o -L. libz.so.1.2.13
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzipsh minigzip.o -L. libz.so.1.2.13
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o example64.o test/example.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example64 example64.o -L. libz.a
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o minigzip64.o test/minigzip.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip64 minigzip64.o -L. libz.a
rm -f /usr/zlib/lib/libz.a
cp libz.a /usr/zlib/lib
chmod 644 /usr/zlib/lib/libz.a
cp libz.so.1.2.13 /usr/zlib/lib
chmod 755 /usr/zlib/lib/libz.so.1.2.13
rm -f /usr/zlib/share/man/man3/zlib.3
cp zlib.3 /usr/zlib/share/man/man3
chmod 644 /usr/zlib/share/man/man3/zlib.3
rm -f /usr/zlib/lib/pkgconfig/zlib.pc
cp zlib.pc /usr/zlib/lib/pkgconfig
chmod 644 /usr/zlib/lib/pkgconfig/zlib.pc
rm -f /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
cp zlib.h zconf.h /usr/zlib/include
chmod 644 /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
[root@localhost zlib-1.2.13]# 用find / -name libz.*查找zlib程序所在的相关位置
可以看到我的服务器下安装了两个版本的。
(一)替换第一个目录下的程序
卸载原zlib包,并替换新的。
cd /lib64
rm -rf /usr/lib64/libz.so.1.2.7
rm -rf /usr/lib64/libz.so.1
rm -rf /usr/lib64/libz.so复制新的程序到/lib64/目录下
cp /usr/zlib/lib/libz.so.1.2.13 /usr/lib64/
cp /usr/zlib/lib/libz.so.1 /usr/lib64/
cp /usr/zlib/lib/libz.so /usr/lib64/软链接重定向为新文件
ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so.1
ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so
(二)替换第二个目录下的程序。
cd /usr/local/lib/
rm -rf libz.*
cp /usr/zlib/lib/libz.* /usr/local/lib/
ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so.1
ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so
刷新系统库文件
ldconfig
2、升级 Perl
perl -v //查看perl版本 过低就不支持高版本的openssh更新
tar -zxf perl-5.38.0.tar.gz
cd perl-5.38.0
指定编译安装路径:
./Configure -de
编译安装:
make && make install
##但这只是安装完成了,系统调用还是旧版,要把旧版本替换掉。
备份旧程序
mv /usr/bin/perl /usr/bin/perl.bak建立新的软连接,使安装的perl生效
ln -s /usr/local/bin/perl /usr/bin/perl检测perl -v
3、安装pam-devel
tar -xf Linux-PAM-1.3.1.tar.xz
cd Linux-PAM-1.3.1指定编译安装路径:
./configure[root@localhost ~]# tar -xf Linux-PAM-1.3.1.tar.xz
[root@localhost ~]# cd Linux-PAM-1.3.1/
[root@localhost Linux-PAM-1.3.1]# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /usr/bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking whether make supports nested variables... yes
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking for style of include used by make... GNU
checking for gcc... gcc
checking whether the C compiler works... yes
...
...
config.status: creating doc/Makefile
config.status: creating doc/specs/Makefile
config.status: creating doc/man/Makefile
config.status: creating doc/sag/Makefile
config.status: creating doc/adg/Makefile
config.status: creating doc/mwg/Makefile
config.status: creating examples/Makefile
config.status: creating tests/Makefile
config.status: creating xtests/Makefile
config.status: creating config.h
config.status: executing depfiles commands
config.status: executing libtool commands
config.status: executing po-directories commands
config.status: creating po/POTFILES
config.status: creating po/Makefile
[root@localhost Linux-PAM-1.3.1]# 编译安装:
make && make install
4、升级 openssl
查看openssl的版本 最低不能低于1.1.1
ssh -V
openssl version -a
备份旧程序
cp /usr/bin/openssl /usr/bin/openssl.old
cp -r /usr/include /usr/includeold编译安装
tar -zxvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
./config --prefix=/usr --shared
使用命令进行编译:
make
安装:
make install
查看版本:
openssl version -a
如果上述方法升级openssl不成功,试试下面两个方法。
(1)--编译 openssl
tar -xvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
./config shared --openssldir=/usr/local/openssl --prefix=/usr/local/openssl
编译安装:
make && make install配置
echo "/usr/local/lib64/" >> /etc/ld.so.conf
ldconfig
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
更新库:
ldconfig -v(2)编译源码安装。
tar -xzvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
./config #不带任何参数。
编译安装:
make && make install升级后如果执行 openssl version 命令出现:
openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory错误。执行以下命令即可。
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1升级后如果执行 openssl version 命令出现:
openssl: /usr/lib/mic_lib/libssl.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)
openssl: /usr/lib/mic_lib/libcrypto.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)。
使用命令删除即可。
rm -rf /usr/lib/mic_lib/libssl.so.1.1
rm -rf /usr/lib/mic_lib/libcrypto.so.1.1
5、进行openssh离线更新
先进行相关文件备份
cp /etc/pam.d/sshd /etc/pam.d/sshd20240117
cp -r /etc/ssh /etc/ssh20240117开始进行解压缩然后进行相关操作
tar -xzvf openssh-9.3p2.tar.gz
cd openssh-9.3p2停止SSH程序
systemctl stop sshd.service删除旧的ssh程序
rm -rf /etc/ssh指定编译安装路径与参数:
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-ssl-dir=/usr/ssl
编译安装:
make && make install
复制启动程序脚本到/etc/init.d/下
cd contrib/redhat
cp sshd.init /etc/init.d/sshd
设置开机自启
systemctl enable sshd
chkconfig sshd --list把配置文件和程序恢复
cp /etc/ssh20240117/sshd_config /etc/ssh/sshd_config
cp /etc/pam.d/sshd20240117 /etc/pam.d/sshd
检查ssh配置
sshd -t #提示79、80行报错
编辑vi /etc/ssh/sshd_config配置文件,将79、90行注释。
然后使用配置文件启动程序
/usr/sbin/sshd -t -f /etc/ssh/sshd_config
systemctl start sshd.service7、openssh升级后问题处理
(一)Linux SSH Access denied(拒绝访问)
编辑配置文件:
vim /etc/ssh/sshd_config修改 PermitRootLogin 为 yes
(二)Openssh程序不断重启。
配置文件什么的没有报错,但状态不为Active: active (running),而是activating (start)。
修改/usr/lib/systemd/system/sshd.service中,相应的可执行文件目录。
将Type=nofify改为:Type=forking(或者注释)
并且去掉启动sshd的 -D参数
systemctl daemon-reload
systemctl start sshd.service再查看一下状态
systemctl status sshd.service
最后查看一下OpenSSH版本:
智能推荐
python色卡识别_用Python帮小姐姐选口红,人人都是李佳琦-程序员宅基地
文章浏览阅读502次。原标题:用Python帮小姐姐选口红,人人都是李佳琦 对于李佳琦,想必知道他的女生要远远多于男生,李佳琦最早由于直播向广大的网友们推荐口红,逐渐走红网络,被大家称作“口红一哥”。不可否认的是,李佳琦的直播能力确实很强,他能够抓住绝大多数人的心理,让大家喜欢看他的直播,看他直播推荐的口红适不适合自己,色号适合什么样子的妆容。为了提升效率,让自己的家人或者女友能够快速的挑选出合适自己妆容的口红色号,今..._获取口红品牌 及色号,色值api
linux awk命令NR详解,linux awk命令详解-程序员宅基地
文章浏览阅读3.6k次。简介awk命令的名称是取自三位创始人Alfred Aho 、Peter Weinberger 和 Brian Kernighan姓名的首字母,awk有自己的程序设计语言,设计简短的程序,读入文件,数据排序,处理数据,生成报表等功能。awk 通常用于文本处理和报表生成,最基本功能是在文件或者字符串中基于指定规则浏览和抽取信息,awk抽取信息后,才能进行其他文本操作。awk 通常以文件的一行为处理单位..._linux awk nr
android 网络连接失败!failed to connect to /192.168.1.186(port 8080)_failed to connect to 192.168.88.218:80-程序员宅基地
文章浏览阅读1.3w次,点赞5次,收藏2次。在网上找了一个小时,一直没有头绪,因为上个星期还是好好的,最后看到一个大神的解答,只需要将防火墙关闭就好了.原本向测试功能的,却卡在了登录上.以此记录.另外好像还有种错误是电脑与手机连接的WiFi不同,也可以看看...._failed to connect to 192.168.88.218:80
matlab 多径衰落,利用MATLAB仿真多径衰落信道.doc-程序员宅基地
文章浏览阅读1.9k次。利用MATLAB仿真多种多径衰落信道摘要:移动信道的多径传播引起的瑞利衰落,时延扩展以及伴随接收过程的多普勒频移使接受信号受到严重的衰落,阴影效应会是接受的的信号过弱而造成通信的中断:在信道中存在噪声和干扰,也会是接收信号失真而造成误码,所以通过仿真找到衰落的原因并采取一些信号处理技术来改善信号接收质量显得很重要,这里利用MATLAB对多径衰落信道的波形做一比较。一,多径衰落信道的特点关于多径衰落..._matlab多径衰落工具箱
python对json的操作及实例解析_import json灰色-程序员宅基地
文章浏览阅读1w次,点赞2次,收藏17次。Json简介:Json,全名 JavaScript Object Notation,是一种轻量级的数据交换格式。它基于 ECMAScript (w3c制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。(来自百度百科)python关于json文_import json灰色
mysql实现MHA高可用详细步骤_mysql mha超详细教程-程序员宅基地
文章浏览阅读1.1k次,点赞6次,收藏3次。一、工作原理MHA工作原理总结为以下几条:(1) 从宕机崩溃的 master 保存二进制日志事件(binlog events);(2) 识别含有最新更新的 slave ;(3) 应用差异的中继日志(relay log) 到其他 slave ;(4) 应用从 master 保存的二进制日志事件(binlog events);(5) 通过Manager控制器提升一个 slave 为新 m..._mysql mha超详细教程
随便推点
Linux环境下主从搭建心得(高手勿喷)_linux的java主从策略是什么-程序员宅基地
文章浏览阅读194次。一 java环境安装:1 安装JDK 参考链接地址:https://blog.csdn.net/qq_42815754/article/details/82968464注:有网情况下直接 yum 一键安装:yum -y list java(1)首先执行以下命令查看可安装的jdk版本(2)选择自己需要的jdk版本进行安装,比如这里安装1.8,执行以下命令:yum install -y java-1.8.0-openjdk-devel.x86_64(3)安装完之后,查看安装的jdk 版本,输入以下指令_linux的java主从策略是什么
ACM第四题_acm竞赛题 i 'm from mars-程序员宅基地
文章浏览阅读104次。定义int 类型,由while实现A,B的连续输入,输出A+B的值按Ctrl Z结束循环。#include<iostream>using namespace std;int main(){ int A,B; while(cin>>A>>B) { cout<<A+B<&_acm竞赛题 i 'm from mars
TextView.SetLinkMovementMethod后拦截所有点击事件的原因以及解决方法-程序员宅基地
文章浏览阅读5.2k次。在需要给TextView的某句话添加点击事件的时候,我们一般会使用ClickableSpan来进行富文本编辑。与此同时我们还需要配合 textView.setMovementMethod(LinkMovementMethod.getInstance());方法才能使点击处理生效。但与此同时还会有一个问题:如果我们给父布局添加一个点击事件,需要在点击非链接的时候触发(例如RectclerV..._linkmovementmethod
JAVA实现压缩解压文件_java 解压zip-程序员宅基地
文章浏览阅读1.1w次,点赞6次,收藏31次。JAVA实现压缩解压文件_java 解压zip
JDK8 新特性-Map对key和value分别排序实现_java comparingbykey-程序员宅基地
文章浏览阅读1.3w次,点赞7次,收藏21次。在Java 8 中使用Stream 例子对一个 Map 进行按照keys或者values排序.1. 快速入门 在java 8中按照此步骤对map进行排序.将 Map 转换为 Stream 对其进行排序 Collect and return a new LinkedHashMap (保持顺序)Map result = map.entrySet().stream() .sort..._java comparingbykey
GDKOI2021普及Day1总结-程序员宅基地
文章浏览阅读497次。第一次参加GDKOI,考完感觉还可以,结果发现还是不行,有一些地方细节打错,有些失分严重,总结出以下几点:1.大模拟一定要注意,细节打挂就是没分,像T1就是一道大模拟题,马上切了,后面就没想着检查以下,导致有些地方挂掉了,用民间数据一测,才85分。2.十年OI一场空,不开longlonglong longlonglong见祖宗。今天的T2本来想用暴力水点分的,结果没想到longlong→intlong long\to intlonglong→int,40→040\to040→0。3.代码实现能力太差,_gdkoi