linux中openssh漏洞修复步骤详解
openssh漏洞上次是说linux中一个bug了,下文我给各位整理一下openssh漏洞修复方法,希望能对大家有帮助.
近期有几台主机上线,上线的主机在进行安全合规扫描时,发现如下openssh漏洞,其中有几个是陈年老漏洞,主要为CVE-2014-1692漏洞(openssh schnorr.c漏洞)为今天一月份的新漏洞,由于主机没有配置外网连接,而且针对suse和redhat不同的版本,所以使用用了源码包编译升级openssh版本的方式修复.
一、准备相关包
- zlib-1.2.5.tar.bz2
- openssl-1.0.1.tar.gz
- openssh-6.6p1.tar.gz
相关包已上传百度云盘上.
二、准备其他登录方式
由于其间有卸载ssh的操作,以免登录不上主机,可以选择先配置telnet或者vnc来进行远程操作,这里以telnet为例,如下:
- #vim/etc/xinetd.d/telnet
- servicetelnet
- {
- socket_type=stream
- protocol=tcp
- wait=no
- user=root
- server=/usr/sbin/in.telnetd
- disable=yes
- }//phpfensi.com
注,如无telnet-server包,需要先安装该包后,再配置以上选项,配置完后,重启xinetd守护进程生效并查看是否有23端口的监听:
- #servicexinetdrestart
- #netstat-tunlp
安全起见也可以考虑修改下telnet端口或通过iptables进行源地址指定.
三、程序升级
1、openssl 包的安装,代码如下:
- #tar-zxvfopenssl-1.0.1.tar.gz
- #cdopenssl-1.0.1
- #./config-fPICthreadsshared
- #make
- #maketest
- #makeinstall
- #mv/usr/bin/openssl/usr/bin/openssl.OFF
- #mv/usr/include/openssl/usr/include/openssl.OFF
- //该步骤可能提示无文件,忽略即可
- #ln-s/usr/local/ssl/bin/openssl/usr/bin/openssl
- #ln-s/usr/local/ssl/include/openssl/usr/include/openssl
- //移走原先系统自带的openssl,将自己编译产生的新文件进行链接
注:不能卸载原openssl包,否则会影响系统的ssl加密库文件,除非你可以做两个软连接libcryto和libssl.
配置文件搜索路径,代码如下:
- #chmod755/usr/local/ssl/lib
- #echo"/usr/local/ssl/lib">>/etc/ld.so.conf
- #/sbin/ldconfig-v
- #opensslversion-a
- OpenSSL1.0.114Mar2012
- builton:FriMar1617:14:50CST2012
- platform:linux-x86_64
- options:bn(64,64)rc4(16x,int)des(idx,cisc,16,int)idea(int)blowfish(idx)
- compiler:gcc-fPIC-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-Wa,--noexecstack-m64-DL_ENDIAN-DTERMIO-O3-Wall-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m-DSHA1_ASM-DSHA256_ASM-DSHA512_ASM-DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASM
- OPENSSLDIR:"/usr/local/ssl"
2、卸载原openssh包.
备份启动脚本:# cp /etc/init.d/sshd /root/
停止SSHD服务:# /sbin/service sshd stop
卸载系统里原有Openssh:
- #rpm-qa|grepopenssh//查询系统原安装的openssh包,全部卸载。
- #rpm-eopenssh--nodeps
- #rpm-eopenssh-server--nodeps
- #rpm-eopenssh-clients--nodeps
- #rpm-eopenssh-askpass
- 或rpm-e--nodeps`rpm-qa|grepopenssh`
3、解压安装zlib包,代码如下:
- #tar-jxvfzlib-1.2.5.tar.bz2//首先安装zlib库,否则会报zlib.c错误无法进行
- #cdzlib-1.2.5
- #./configure
- #make&&makeinstall
4、升级openssh包,先将将/etc/ssh的文件夹备份,代码如下:
- #mv/etc/ssh/etc/ssh_bak
- #tar-zxvfopenssh-6.6p1.tar.gz
- #./configure--sysconfdir=/etc/ssh--with-ssl-dir=/usr/local/ssl--with-md5-passwords--mandir=/usr/share/man--with-pam
- #make
- #makeinstall
编译过程中可能报如下错:
- checkingforEVP_sha256...yes
- checkingwhetherOpenSSLhasNID_X9_62_prime256v1...yes
- checkingwhetherOpenSSLhasNID_secp384r1...yes
- checkingwhetherOpenSSLhasNID_secp521r1...yes
- checkingifOpenSSL'sNID_secp521r1isfunctional...yes
- checkingforia_openinfoin-liaf...no
- checkingwhetherOpenSSL'sPRNGisinternallyseeded...yes
- configure:error:PAMheadersnotfound--phpfensi.com
如果报此错误需要安装相应版本的 pam-devel 包,安装完再重新编译即可.
5、启动openssh服务
编译安装好后,可以通过sshd -d 进行验证,如果没有报错就可以重新启用openssh了,代码如下:
- #cp-pcontrib/redhat/sshd.init/etc/init.d/sshd
- (suse:cpcontrib/suse/rc.sshd/etc/init.d/sshd)
- #chmod+x/etc/init.d/sshd
- #chkconfig--addsshd
- #cpsshd_config/etc/ssh/sshd_config(如提示覆盖,yes回车)
- #cpsshd/usr/sbin/sshd(如提示覆盖,yes回车)
- (redhat:cpssh-keygen/usr/bin/ssh-keygen)
通过下面的命令启动ssh服务,代码如下:
service sshd start 或 service sshd restart
注:ssh -V //如果看到了新的版本号就没问题啦,如果没有ssh这条命令,执行(redhat、suse: ln -s /usr/local/bin/ssh /usr/bin/ssh).
热门评论