前言
CentOS 7.6系统自带的ssh版本太老了,存在漏洞例如:
OpenSSH 代码问题漏洞CVE-2023-38408: OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。
OpenSSH client 安全漏洞CVE-2016-1908:OpenSSH 7.2之前的版本中的client存在安全漏洞,该漏洞源于程序没有正确的处理生成身份验证cookie失败的情况。攻击者可利用该漏洞获取信任的X11转发权限。
OpenSSH J-PAKE授权问题漏洞CVE-2010-4478: 当J-PAKE启用时,OpenSSH 5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可以通过发送每一轮协议中的特制值绕过共享秘密信息的需求,并成功获得认证。
》》》
所以避免这些漏洞被利用,需要进行升级修复。本文教程适用升级到OpenSSH 9.3/9.3p1/9.3p2、OpenSSH 9.4/9.4p1、OpenSSH 9.5/9.5p1、OpenSSH 9.6/9.6p1。
升级OpenSSH的过程会需要依赖ZLIB、Perl、OpenSSL,升级OpenSSL可能会报错,可能还需要依赖PAM。所以先要离线下载这些依赖对应的包:zlib-1.2.13.tar.gz,perl-5.38.0.tar.gz,Linux-PAM-1.3.1.tar.xz,openssl-1.1.1w.tar.gz,openssh-9.3p2.tar.gz。(这也是安装的顺序)
注意:为避免升级openssh过程中断联,请安装telnet-server、telnet、xinetd。
1、安装/升级 zlib
tar -zxvf zlib-1.2.13.tar.gz
cd zlib-1.2.13
./configure --prefix=/usr/zlib
编译安装:
make && make install
[root@localhost zlib-1.2.13]# ./configure --prefix=/usr/zlib
Checking for gcc...
Checking for shared library support...
Building shared library libz.so.1.2.13 with gcc.
Checking for size_t... Yes.
Checking for off64_t... Yes.
Checking for fseeko... Yes.
Checking for strerror... Yes.
Checking for unistd.h... Yes.
Checking for stdarg.h... Yes.
Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().
Checking for vsnprintf() in stdio.h... Yes.
Checking for return value of vsnprintf()... Yes.
Checking for attribute(visibility) support... Yes.
[root@localhost zlib-1.2.13]# make && make install
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o adler32.o adler32.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o crc32.o crc32.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o deflate.o deflate.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o infback.o infback.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inffast.o inffast.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inflate.o inflate.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inftrees.o inftrees.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o trees.o trees.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o zutil.o zutil.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o compress.o compress.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o uncompr.o uncompr.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzclose.o gzclose.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzlib.o gzlib.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzread.o gzread.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzwrite.o gzwrite.c
ar rc libz.a adler32.o crc32.o deflate.o infback.o inffast.o inflate.o inftrees.o trees.o zutil.o compress.o uncompr.o gzclose.o gzlib.o gzread.o gzwrite.o
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example example.o -L. libz.a
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o minigzip.o test/minigzip.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip minigzip.o -L. libz.a
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/adler32.o adler32.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/crc32.o crc32.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/deflate.o deflate.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/infback.o infback.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inffast.o inffast.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inflate.o inflate.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inftrees.o inftrees.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/trees.o trees.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/zutil.o zutil.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/compress.o compress.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/uncompr.o uncompr.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzclose.o gzclose.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzlib.o gzlib.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzread.o gzread.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzwrite.o gzwrite.c
gcc -shared -Wl,-soname,libz.so.1,--version-script,zlib.map -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o libz.so.1.2.13 adler32.lo crc32.lo deflate.lo infback.lo inffast.lo inflate.lo inftrees.lo trees.lo zutil.lo compress.lo uncompr.lo gzclose.lo gzlib.lo gzread.lo gzwrite.lo -lc
rm -f libz.so libz.so.1
ln -s libz.so.1.2.13 libz.so
ln -s libz.so.1.2.13 libz.so.1
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o examplesh example.o -L. libz.so.1.2.13
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzipsh minigzip.o -L. libz.so.1.2.13
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o example64.o test/example.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example64 example64.o -L. libz.a
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o minigzip64.o test/minigzip.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip64 minigzip64.o -L. libz.a
rm -f /usr/zlib/lib/libz.a
cp libz.a /usr/zlib/lib
chmod 644 /usr/zlib/lib/libz.a
cp libz.so.1.2.13 /usr/zlib/lib
chmod 755 /usr/zlib/lib/libz.so.1.2.13
rm -f /usr/zlib/share/man/man3/zlib.3
cp zlib.3 /usr/zlib/share/man/man3
chmod 644 /usr/zlib/share/man/man3/zlib.3
rm -f /usr/zlib/lib/pkgconfig/zlib.pc
cp zlib.pc /usr/zlib/lib/pkgconfig
chmod 644 /usr/zlib/lib/pkgconfig/zlib.pc
rm -f /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
cp zlib.h zconf.h /usr/zlib/include
chmod 644 /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
[root@localhost zlib-1.2.13]#
用find / -name libz.*查找zlib程序所在的相关位置
可以看到我的服务器下安装了两个版本的。
(一)替换第一个目录下的程序
卸载原zlib包,并替换新的。
cd /lib64
rm -rf /usr/lib64/libz.so.1.2.7
rm -rf /usr/lib64/libz.so.1
rm -rf /usr/lib64/libz.so
复制新的程序到/lib64/目录下
cp /usr/zlib/lib/libz.so.1.2.13 /usr/lib64/
cp /usr/zlib/lib/libz.so.1 /usr/lib64/
cp /usr/zlib/lib/libz.so /usr/lib64/
软链接重定向为新文件
ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so.1
ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so
(二)替换第二个目录下的程序。
cd /usr/local/lib/
rm -rf libz.*
cp /usr/zlib/lib/libz.* /usr/local/lib/
ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so.1
ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so
刷新系统库文件
ldconfig
2、升级 Perl
perl -v //查看perl版本 过低就不支持高版本的openssh更新
tar -zxf perl-5.38.0.tar.gz
cd perl-5.38.0
指定编译安装路径:
./Configure -de
编译安装:
make && make install
##但这只是安装完成了,系统调用还是旧版,要把旧版本替换掉。
备份旧程序
mv /usr/bin/perl /usr/bin/perl.bak
建立新的软连接,使安装的perl生效
ln -s /usr/local/bin/perl /usr/bin/perl
检测perl -v
3、安装pam-devel
tar -xf Linux-PAM-1.3.1.tar.xz
cd Linux-PAM-1.3.1
指定编译安装路径:
./configure
[root@localhost ~]# tar -xf Linux-PAM-1.3.1.tar.xz
[root@localhost ~]# cd Linux-PAM-1.3.1/
[root@localhost Linux-PAM-1.3.1]# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /usr/bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking whether make supports nested variables... yes
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking for style of include used by make... GNU
checking for gcc... gcc
checking whether the C compiler works... yes
...
...
config.status: creating doc/Makefile
config.status: creating doc/specs/Makefile
config.status: creating doc/man/Makefile
config.status: creating doc/sag/Makefile
config.status: creating doc/adg/Makefile
config.status: creating doc/mwg/Makefile
config.status: creating examples/Makefile
config.status: creating tests/Makefile
config.status: creating xtests/Makefile
config.status: creating config.h
config.status: executing depfiles commands
config.status: executing libtool commands
config.status: executing po-directories commands
config.status: creating po/POTFILES
config.status: creating po/Makefile
[root@localhost Linux-PAM-1.3.1]#
编译安装:
make && make install
4、升级 openssl
查看openssl的版本 最低不能低于1.1.1
ssh -V
openssl version -a
备份旧程序
cp /usr/bin/openssl /usr/bin/openssl.old
cp -r /usr/include /usr/includeold
编译安装
tar -zxvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
./config --prefix=/usr --shared
使用命令进行编译:
make
安装:
make install
查看版本:
openssl version -a
如果上述方法升级openssl不成功,试试下面两个方法。
(1)--编译 openssl
tar -xvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
./config shared --openssldir=/usr/local/openssl --prefix=/usr/local/openssl
编译安装:
make && make install
配置
echo "/usr/local/lib64/" >> /etc/ld.so.conf
ldconfig
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
更新库:
ldconfig -v
(2)编译源码安装。
tar -xzvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
./config #不带任何参数。
编译安装:
make && make install
升级后如果执行 openssl version 命令出现:
openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory错误。执行以下命令即可。
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
升级后如果执行 openssl version 命令出现:
openssl: /usr/lib/mic_lib/libssl.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)
openssl: /usr/lib/mic_lib/libcrypto.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)。
使用命令删除即可。
rm -rf /usr/lib/mic_lib/libssl.so.1.1
rm -rf /usr/lib/mic_lib/libcrypto.so.1.1
5、进行openssh离线更新
先进行相关文件备份
cp /etc/pam.d/sshd /etc/pam.d/sshd20240117
cp -r /etc/ssh /etc/ssh20240117
开始进行解压缩然后进行相关操作
tar -xzvf openssh-9.3p2.tar.gz
cd openssh-9.3p2
停止SSH程序
systemctl stop sshd.service
删除旧的ssh程序
rm -rf /etc/ssh
指定编译安装路径与参数:
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-ssl-dir=/usr/ssl
编译安装:
make && make install
复制启动程序脚本到/etc/init.d/下
cd contrib/redhat
cp sshd.init /etc/init.d/sshd
设置开机自启
systemctl enable sshd
chkconfig sshd --list
把配置文件和程序恢复
cp /etc/ssh20240117/sshd_config /etc/ssh/sshd_config
cp /etc/pam.d/sshd20240117 /etc/pam.d/sshd
检查ssh配置
sshd -t #提示79、80行报错
编辑vi /etc/ssh/sshd_config配置文件,将79、90行注释。
然后使用配置文件启动程序
/usr/sbin/sshd -t -f /etc/ssh/sshd_config
systemctl start sshd.service
7、openssh升级后问题处理
(一)Linux SSH Access denied(拒绝访问)
编辑配置文件:
vim /etc/ssh/sshd_config
修改 PermitRootLogin 为 yes
(二)Openssh程序不断重启。
配置文件什么的没有报错,但状态不为Active: active (running),而是activating (start)。
修改/usr/lib/systemd/system/sshd.service中,相应的可执行文件目录。
将Type=nofify改为:Type=forking(或者注释)
并且去掉启动sshd的 -D参数
systemctl daemon-reload
systemctl start sshd.service
再查看一下状态
systemctl status sshd.service
最后查看一下OpenSSH版本:
文章浏览阅读4.2w次,点赞329次,收藏2.7k次。Python 入门的60个基础练习_练习python基础语法
文章浏览阅读1w次。用Xcode5运行一下应用,第一个看到的就是status bar的变化。在iOS6中,status bar是系统在处理,应用_ios7 statusbar
文章浏览阅读2.1k次。问题描述:,在gdb调试程序输出变量:p var,会提示No symbol "var" in current context.原因:程序编译时开启了优化选项,那么在用GDB调试被优化过的程序时,可能会发生某些变量不能访问,或是取值错误码的情况。这个是很正常的,因为优化程序会删改程序,整理程序的语句顺序,剔除一些无意义的变量等,所以在GDB调试这种程序时,运行时的指令和你所编写指_no registers调试显示
文章浏览阅读3.4k次。import java.util.Random;import org.drools.util.UUIDGenerator;/** * * * 类名称:GenerateIdUtil * 类描述: 主键生成工具类 * @author chenly * 创建时间:Jul 10, 2012 8:10:43 AM * 修改人: * 修改时间:Jul 10, 2012 8..._idgeneratorutils.generateid()
文章浏览阅读5k次。BX:跳转到寄存器reg给出的目的地址处,如:BX R2BLX:跳转到寄存区reg给出的目的地址处并将返回地址存储到LR(R14)使用这两个指令时有一点特别需要注意:跳转的目的地址必须是奇数,若不是奇数则在后面加1,如某函数的起始地址是0x80000f00,则要跳转到此函数则应该跳转到0x80000f01处!否则会进入硬件错误中断!..._汇编blx
文章浏览阅读2.6k次,点赞2次,收藏4次。vue打包后,其实就剩index.html和一堆静态资源,页面的加载和替换都是通过刷新index.html种的dom来实现的(应该是这样,可能表述不是很好),所以做个重定向就可以了。(博主是这么解决的,网上还有很多人是各种路径错误,大家可以尝试下自己是哪个原因)import org.springframework.boot.web.server.ConfigurableWebServerFa..._前端项目放入resource
文章浏览阅读9.7k次。1.问题展示2.解决方案1.任意窗口, 打开git bash2.命令行界面, 输入cd C:3.cat ~/.ssh/id_rsa.pub正常下面应该显示一大串公钥如果没有,显示如下图, 则进行下一步, 创建公钥4.创建公钥, 输入 ssh-keygen5.然后一直下一步, 直到出现6.再次输入cat ~/.ssh/id_rsa.pub下面一大串数字便是公钥,复制这些字符串, 打开github, 点击头像, 打开settings, 打开SSH and GPG Keys_cmd warning: permanently added
文章浏览阅读154次。[code="java"]1. SQL/Plus 常用命令 a. help [topic] 查看命令的使用方法,topic表示需要查看的命令名称。 如: help desc; b. host 该命令可以从SQL*Plus环境切换到操作系统环境,以便执行操作系统命名。 c. host [command] 在sql*plus环境中执行操作系统命令,如:host notepad.exe..._sql+plus的使用方法
文章浏览阅读441次。该文档均来自互联网,如果侵犯了您的个人权益,请联系我们将立即删除!**学校毕 业 论 文**学校园网络服务器的配置与管理姓 名: **学 号: **指导老师:系 名:专 业: 计算机网络技术班 级:二0一一年十二月十五日摘 要随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效..._服务器配置与应用论文
文章浏览阅读1k次。一、单实例多库:一个mysql实例,创建多个数据目录。规划:实例路径:/usr/local/mysql数据目录路径:(1)/usr/local/mysql/data(2)/usr/local/mysql/data2步骤:安装mysql。配置my.cnf文件。初始化各个数据库。用mysqld_multi启动。1、安装mysql。平常安装。2、m..._数据库单实例和多实例
文章浏览阅读6.3k次。今天装了第三方的MFC软件库Xtreme ToolkitPro v15.0.1,听说搞MFC的人都知道它的强大,我刚学习,所以装了一个,然后想运行一下它自带的例子看看。出现一个“找不到mfc90.dll“的问题,百度一下,记录如下:vs2008已经打过sp1补丁,编译C++程序会提示找不到mfc90.dll文件的错误,但是如果是release版的话就能正常运行csdn看到解决方案,粘贴_microsoft v90.debugmfc
文章浏览阅读2.1k次。以前使用CJK进行中文的排版,需要自己生成字体库,近日,出现了XeTeX,可以比较好的解决中文字体问题,不需要额外生成LaTeX字体库,直接使用计算机系统里的字体,本文以在Linux下为例说明XeTeX的使用。操作系统: UbuntuTeX:除了texlive包外,还需要安装的包是texlive-xetex。字体:可以使用fc-list查看你自己的字体库,注意字体的完整名称,在XeTe..._latex 中文排版 texlive