CentOS6.x服务器OpenSSH平滑升级到7.3p版本——拒绝服务器漏洞攻击
2017-09-28 18:25
459 查看
对于新安装的Linux服务器,默认OpenSSH及OpenSSL都不是最新的,需要进行升级以拒绝服务器漏洞攻击。本次介绍的是升级生产环境下CentOS6.x系列服务器平滑升级OpenSSL及OpenSSH的方法。
一、服务器漏洞说明
二、环境描述
1)操作系统:CentOS 6.x系列 64位2)修补前后
使用源码安装的方式
3)连接工具SecureCrt、XShell
三、升级
最好先多开几个root登录的shell窗口万一升级失败可以回退回来,或者安装dropbear只是为了在升级失败sshd启动不起来时,依然可以登录系统3.1 下载响应源码安装包
3.1.1 下载OpenSSL源码包
下载地址:https://www.openssl.org/source/3.1.2 下载1.0.2版本的openssl
下载地址:https://www.openssl.org/source/openssl-1.0.2j.tar.gz3.1.3 下载OpenSSH源码包
下载地址:http://openbsd.hk/pub/OpenBSD/OpenSSH/portable/
3.2 安装Zlib
http://zlib.net/zlib-1.2.8.tar.gz tar -zxvf zlib-1.2.8.tar.gz cd zlib-1.2.8 ./configure --shared
make
make test
make install
3.3 安装OpenSSL
tar zxf openssl-1.0.2j.tar.gz cd openssl-1.0.2j/ ./config shared (默认安装路径/usr/local/ssl)
make make test (确认编译是否有问题)
make install
把老的openssl文件进行备份
mv /usr/bin/openssl /usr/bin/openssl.bak (文件存在的话就执行这个命令) mv /usr/include/openssl /usr/include/openssl.bak (文件存在的话就执行这个命令)
做链接
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl (做链接) ln -s /usr/local/ssl/include/openssl /usr/include/openssl (做链接)
vi /etc/ld.so.conf
在第一行加 /usr/local/ssl/lib
之后
ldconfig
让配置文件生效
最后查看当前openssl版本信息
openssl version -a
3.4 安装OpenSSH
tar zxf openssh-7.3p1-CVE-2016-8858.tar.gz
如为原版openssh-7.3p1包则添加下图代码,此包已经添加过。
cd openssh-7.3p1/
解压openssh源码包,修改源码包根目录中的kex.c文件
搜debug("SSH2_MSG_KEXINIT received"); 在这附近
加ssh_dispatch_set(ssh, SSH2_MSG_KEXINIT, NULL);
./configure --prefix=/usr/local/myssh --sysconfdir=/usr/local/myssh/ssh --with-openssl-includes=/usr/local/ssl/include -with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/myempty --with-privsep-user=sshd --with-zlib --with-ssl-engine --with-md5-passwords --disable-etc-default-login
(标红的部分是openssh安装的文件目录,可以自定义)
make
(make之后没有报错)
make install
修改新的OpenSSH配置文件
vi /usr/local/myssh/ssh/sshd_config
修改端口号和版本号
cd /usr/local/openssh-7.3p1 cp contrib/redhat/sshd.init /etc/init.d/sshd
(把启动脚本拷贝到init.d下)
mv /usr/sbin/sshd /usr/sbin/sshd.bak
(将以前的sshd进行备份)
ln -s /usr/local/myssh/sbin/sshd /usr/sbin/sshd
(做链接)
service sshd restart
最后再用其他主机telnet这台主机,会发现已经升级到OpenSSH_7.3
相关文章推荐
- 平滑升级openssh版本方法
- 解决openssh漏洞,升级openssh版本
- Openssh版本升级修复漏洞
- 低版本openssh三大漏洞,将你的linux系统服务器抛掷荒野
- 低版本openssh三大漏洞,将你的linux系统服务器抛掷荒野!
- Struts2升级版本至2.5.10,高危漏洞又来了
- 修复open-ssl漏洞,升级open-ssl版本
- RHEL5.4 openssh升级至OpenSSH_7.4p1版本-shell处理
- CentOS 6.8 升级OpenSSH至最新版本7.5p1
- struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
- 服务器由于redis未授权漏洞被攻击
- 升级openssl版本修复高危漏洞——“OpenSSL红色警戒”漏洞
- Linux下OpenSSH版本升级
- 高性能Web服务器Nginx的配置与部署研究(14)平滑升级你的Nginx
- openssl升级版本,防止 Heartbleed 漏洞
- (转)iOS如何取得APP的版本信息跟服务器对比进行升级提示?
- WAMP服务器PHP版本升级指南
- CentOS openssh升级至7.4版本
- 中国地下市场出现了攻击Apache Struts漏洞的工具, 可让攻击者在目标服务器上执行任意指令
- 启动Nginx、查看nginx进程、查看nginx服务主进程的方式、Nginx服务可接受的信号、nginx帮助命令、Nginx平滑重启、Nginx服务器的升级