当前位置:   article > 正文

CentOS7.6系统OpenSSH升级到openssh-9.3p2(漏洞修复)_openssh 9.3p2之前版本存在安全漏洞

openssh 9.3p2之前版本存在安全漏洞

前言

CentOS 7.6系统自带的ssh版本太老了,存在漏洞例如:

OpenSSH 代码问题漏洞CVE-2023-38408: OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。

OpenSSH client 安全漏洞CVE-2016-1908:OpenSSH 7.2之前的版本中的client存在安全漏洞,该漏洞源于程序没有正确的处理生成身份验证cookie失败的情况。攻击者可利用该漏洞获取信任的X11转发权限。

OpenSSH J-PAKE授权问题漏洞CVE-2010-4478: 当J-PAKE启用时,OpenSSH 5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可以通过发送每一轮协议中的特制值绕过共享秘密信息的需求,并成功获得认证。

》》》

所以避免这些漏洞被利用,需要进行升级修复。本文教程适用升级到OpenSSH 9.3/9.3p1/9.3p2、OpenSSH 9.4/9.4p1、OpenSSH 9.5/9.5p1、OpenSSH 9.6/9.6p1。

升级OpenSSH的过程会需要依赖ZLIB、Perl、OpenSSL,升级OpenSSL可能会报错,可能还需要依赖PAM。所以先要离线下载这些依赖对应的包:zlib-1.2.13.tar.gz,perl-5.38.0.tar.gz,Linux-PAM-1.3.1.tar.xz,openssl-1.1.1w.tar.gz,openssh-9.3p2.tar.gz。(这也是安装的顺序)

注意:为避免升级openssh过程中断联,请安装telnet-server、telnet、xinetd。

1、安装/升级 zlib

  1. tar -zxvf zlib-1.2.13.tar.gz
  2. cd zlib-1.2.13
  3. ./configure --prefix=/usr/zlib

编译安装:

make && make install
  1. [root@localhost zlib-1.2.13]# ./configure --prefix=/usr/zlib
  2. Checking for gcc...
  3. Checking for shared library support...
  4. Building shared library libz.so.1.2.13 with gcc.
  5. Checking for size_t... Yes.
  6. Checking for off64_t... Yes.
  7. Checking for fseeko... Yes.
  8. Checking for strerror... Yes.
  9. Checking for unistd.h... Yes.
  10. Checking for stdarg.h... Yes.
  11. Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().
  12. Checking for vsnprintf() in stdio.h... Yes.
  13. Checking for return value of vsnprintf()... Yes.
  14. Checking for attribute(visibility) support... Yes.
  15. [root@localhost zlib-1.2.13]# make && make install
  16. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c
  17. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o adler32.o adler32.c
  18. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o crc32.o crc32.c
  19. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o deflate.o deflate.c
  20. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o infback.o infback.c
  21. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inffast.o inffast.c
  22. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inflate.o inflate.c
  23. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inftrees.o inftrees.c
  24. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o trees.o trees.c
  25. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o zutil.o zutil.c
  26. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o compress.o compress.c
  27. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o uncompr.o uncompr.c
  28. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzclose.o gzclose.c
  29. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzlib.o gzlib.c
  30. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzread.o gzread.c
  31. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o gzwrite.o gzwrite.c
  32. ar rc libz.a adler32.o crc32.o deflate.o infback.o inffast.o inflate.o inftrees.o trees.o zutil.o compress.o uncompr.o gzclose.o gzlib.o gzread.o gzwrite.o
  33. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example example.o -L. libz.a
  34. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o minigzip.o test/minigzip.c
  35. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip minigzip.o -L. libz.a
  36. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/adler32.o adler32.c
  37. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/crc32.o crc32.c
  38. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/deflate.o deflate.c
  39. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/infback.o infback.c
  40. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inffast.o inffast.c
  41. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inflate.o inflate.c
  42. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inftrees.o inftrees.c
  43. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/trees.o trees.c
  44. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/zutil.o zutil.c
  45. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/compress.o compress.c
  46. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/uncompr.o uncompr.c
  47. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzclose.o gzclose.c
  48. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzlib.o gzlib.c
  49. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzread.o gzread.c
  50. gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzwrite.o gzwrite.c
  51. gcc -shared -Wl,-soname,libz.so.1,--version-script,zlib.map -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o libz.so.1.2.13 adler32.lo crc32.lo deflate.lo infback.lo inffast.lo inflate.lo inftrees.lo trees.lo zutil.lo compress.lo uncompr.lo gzclose.lo gzlib.lo gzread.lo gzwrite.lo -lc
  52. rm -f libz.so libz.so.1
  53. ln -s libz.so.1.2.13 libz.so
  54. ln -s libz.so.1.2.13 libz.so.1
  55. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o examplesh example.o -L. libz.so.1.2.13
  56. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzipsh minigzip.o -L. libz.so.1.2.13
  57. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o example64.o test/example.c
  58. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example64 example64.o -L. libz.a
  59. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o minigzip64.o test/minigzip.c
  60. gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip64 minigzip64.o -L. libz.a
  61. rm -f /usr/zlib/lib/libz.a
  62. cp libz.a /usr/zlib/lib
  63. chmod 644 /usr/zlib/lib/libz.a
  64. cp libz.so.1.2.13 /usr/zlib/lib
  65. chmod 755 /usr/zlib/lib/libz.so.1.2.13
  66. rm -f /usr/zlib/share/man/man3/zlib.3
  67. cp zlib.3 /usr/zlib/share/man/man3
  68. chmod 644 /usr/zlib/share/man/man3/zlib.3
  69. rm -f /usr/zlib/lib/pkgconfig/zlib.pc
  70. cp zlib.pc /usr/zlib/lib/pkgconfig
  71. chmod 644 /usr/zlib/lib/pkgconfig/zlib.pc
  72. rm -f /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
  73. cp zlib.h zconf.h /usr/zlib/include
  74. chmod 644 /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
  75. [root@localhost zlib-1.2.13]#

用find / -name libz.*查找zlib程序所在的相关位置

可以看到我的服务器下安装了两个版本的。

(一)替换第一个目录下的程序

卸载原zlib包,并替换新的。

  1. cd /lib64
  2. rm -rf  /usr/lib64/libz.so.1.2.7
  3. rm -rf  /usr/lib64/libz.so.1
  4. rm -rf  /usr/lib64/libz.so

复制新的程序到/lib64/目录下

  1. cp /usr/zlib/lib/libz.so.1.2.13 /usr/lib64/
  2. cp /usr/zlib/lib/libz.so.1 /usr/lib64/
  3. cp /usr/zlib/lib/libz.so /usr/lib64/

软链接重定向为新文件

  1. ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so.1
  2. ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so

(二)替换第二个目录下的程序。

  1. cd /usr/local/lib/
  2. rm -rf libz.*
  3. cp /usr/zlib/lib/libz.* /usr/local/lib/
  4. ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so.1
  5. ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so

刷新系统库文件

ldconfig

2、升级 Perl

perl -v   //查看perl版本 过低就不支持高版本的openssh更新

  1. tar -zxf perl-5.38.0.tar.gz
  2. cd perl-5.38.0
  3. 指定编译安装路径:
  4. ./Configure -de

编译安装:

make && make install

##但这只是安装完成了,系统调用还是旧版,要把旧版本替换掉。

备份旧程序

mv /usr/bin/perl /usr/bin/perl.bak

建立新的软连接,使安装的perl生效

ln -s /usr/local/bin/perl /usr/bin/perl

检测perl -v

3、安装pam-devel

  1. tar -xf Linux-PAM-1.3.1.tar.xz
  2. cd Linux-PAM-1.3.1

指定编译安装路径:

./configure
  1. [root@localhost ~]# tar -xf Linux-PAM-1.3.1.tar.xz
  2. [root@localhost ~]# cd Linux-PAM-1.3.1/
  3. [root@localhost Linux-PAM-1.3.1]# ./configure
  4. checking for a BSD-compatible install... /usr/bin/install -c
  5. checking whether build environment is sane... yes
  6. checking for a thread-safe mkdir -p... /usr/bin/mkdir -p
  7. checking for gawk... gawk
  8. checking whether make sets $(MAKE)... yes
  9. checking whether make supports nested variables... yes
  10. checking build system type... x86_64-unknown-linux-gnu
  11. checking host system type... x86_64-unknown-linux-gnu
  12. checking for style of include used by make... GNU
  13. checking for gcc... gcc
  14. checking whether the C compiler works... yes
  15. ...
  16. ...
  17. config.status: creating doc/Makefile
  18. config.status: creating doc/specs/Makefile
  19. config.status: creating doc/man/Makefile
  20. config.status: creating doc/sag/Makefile
  21. config.status: creating doc/adg/Makefile
  22. config.status: creating doc/mwg/Makefile
  23. config.status: creating examples/Makefile
  24. config.status: creating tests/Makefile
  25. config.status: creating xtests/Makefile
  26. config.status: creating config.h
  27. config.status: executing depfiles commands
  28. config.status: executing libtool commands
  29. config.status: executing po-directories commands
  30. config.status: creating po/POTFILES
  31. config.status: creating po/Makefile
  32. [root@localhost Linux-PAM-1.3.1]#

编译安装:

make && make install

4、升级 openssl

查看openssl的版本 最低不能低于1.1.1

ssh -V   

openssl version -a

备份旧程序

  1. cp /usr/bin/openssl /usr/bin/openssl.old
  2. cp -r /usr/include /usr/includeold

编译安装

  1. tar -zxvf openssl-1.1.1w.tar.gz
  2. cd openssl-1.1.1w
  3. ./config --prefix=/usr --shared

使用命令进行编译:

make

安装:

make install

查看版本:

openssl version -a

如果上述方法升级openssl不成功,试试下面两个方法。

(1)--编译 openssl

  1. tar -xvf openssl-1.1.1w.tar.gz
  2. cd openssl-1.1.1w
  3. ./config shared --openssldir=/usr/local/openssl --prefix=/usr/local/openssl

编译安装:

make && make install

配置

  1. echo "/usr/local/lib64/" >> /etc/ld.so.conf
  2. ldconfig

  1. mv /usr/bin/openssl /usr/bin/openssl.old
  2. ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
  3. ln -s /usr/local/openssl/include/openssl /usr/include/openssl
  4. echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
  5. 更新库:
  6. ldconfig -v

(2)编译源码安装。

  1. tar -xzvf openssl-1.1.1w.tar.gz
  2. cd openssl-1.1.1w
  3. ./config     #不带任何参数。

编译安装:

make && make install

升级后如果执行 openssl version 命令出现:

openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory错误。执行以下命令即可。

  1. ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
  2. ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

升级后如果执行 openssl version 命令出现:

openssl: /usr/lib/mic_lib/libssl.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)
openssl: /usr/lib/mic_lib/libcrypto.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)。

使用命令删除即可。

  1. rm -rf /usr/lib/mic_lib/libssl.so.1.1
  2. rm -rf /usr/lib/mic_lib/libcrypto.so.1.1

5、进行openssh离线更新

先进行相关文件备份

  1. cp /etc/pam.d/sshd /etc/pam.d/sshd20240117
  2. cp -r /etc/ssh /etc/ssh20240117

开始进行解压缩然后进行相关操作

  1. tar -xzvf openssh-9.3p2.tar.gz
  2. cd openssh-9.3p2

停止SSH程序

systemctl stop sshd.service

删除旧的ssh程序

rm -rf /etc/ssh

指定编译安装路径与参数:

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-ssl-dir=/usr/ssl

编译安装:

make && make install

复制启动程序脚本到/etc/init.d/下

  1. cd contrib/redhat
  2. cp sshd.init /etc/init.d/sshd

设置开机自启

  1. systemctl enable sshd
  2. chkconfig sshd --list

把配置文件和程序恢复

  1. cp  /etc/ssh20240117/sshd_config /etc/ssh/sshd_config
  2. cp /etc/pam.d/sshd20240117 /etc/pam.d/sshd

检查ssh配置

sshd -t   #提示79、80行报错

编辑vi  /etc/ssh/sshd_config配置文件,将79、90行注释。

然后使用配置文件启动程序

  1. /usr/sbin/sshd -t -f /etc/ssh/sshd_config
  2. systemctl start sshd.service

7、openssh升级后问题处理

(一)Linux SSH Access denied(拒绝访问)

编辑配置文件:

vim /etc/ssh/sshd_config

修改 PermitRootLogin 为 yes

(二)Openssh程序不断重启。

配置文件什么的没有报错,但状态不为Active: active (running),而是activating (start)。

修改/usr/lib/systemd/system/sshd.service中,相应的可执行文件目录。

将Type=nofify改为:Type=forking(或者注释)

并且去掉启动sshd的 -D参数

  1. systemctl daemon-reload
  2. systemctl start sshd.service

再查看一下状态

systemctl status sshd.service

最后查看一下OpenSSH版本:

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/847564
推荐阅读
相关标签
  

闽ICP备14008679号