主机扫描出来以下漏洞
OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH
漏洞OpenSSH 7.7版本至7.9版本和8.1之前的8.x版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
OpenSSH 命令注入漏洞(CVE-2020-15778)
OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
针对这两个漏洞采用升级openssh来解决 下面是我实验出来的一些步骤和所需要的文件链接 服务器是无法连接网络的只能通过源码包安装 如果用yum那就简单多了 随便百度就一大堆 下面是我的操作步骤
此篇实施过程没有root权限 最好可以登录后执行 sudo -s 切换为root 执行 可根据自己环境操作 先编译安装openssh 缺什么在装什么
查看现在的版本和备份现有的ssh文件(准备好需要的源码包)
 # ssh -V
# sudo cp -r /etc/ssh /etc/ssh.bak
# sudo cp -r /etc/pam.d /etc/pam.d.bak
安装telnet 升级过程在telnet远程登录执行 避免升级失败连接不上的问题
# sudo rpm -ivh xinetd.rpm
# sudo rpm -ivh telnet.x86_64.rpm
# sudo rpm -ivh telnet-server.x86_64.rpm
# sudo systemctl restart xinetd.service
# sudo systemctl restart telnet.socket
# sudo netstat -tnl | grep 23
 如果telnet登录不上先查看防火墙
查看端口是否开启
# firewall-cmd --query-port=23/tcp
这里显示no就是没有开启 执行下面的命令 显示yes就是已经开启 排查其他原因
# firewall-cmd --add-port=23/tcp
这是开启23端口
# firewall-cmd --query-port=23/tcp
再次查看
利用telnet远程登录进行升级(避免升级失败 一定要telnet登录操作 )
# telnet ip
安装 gcc(上传gcc源码包)
# sudo tar zxf gcc_rpm.tar.gz
# cd gcc/
# sudo rpm -ivh *.rpm --nodeps --force
# cd
安装zlib
# sudo tar zxf zlib.tar.gz
# cd zlib/
# sudo ./configure
# sudo make test
# sudo make install
# sudo make clean
# sudo ./configure --shared
# sudo make test
# sudo make install
# sudo cp zutil.h /usr/local/include/
# sudo cp zutil.c /usr/local/include/
# cd
安装openssl(编译openssh8.4不报openssl错误就不用安装)
# sudo tar zxf openssl.tar.gz 
# cd openssl
# sudo ./config --prefix=/usr/ --shared
# sudo make
# sudo make test
# sudo make install
# sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
# sudo vi /etc/ld.so.conf 
添加 /usr/local/ssl/lib
# sudo ldconfig -v
# cd
安装Perl(编译openssl不报Perl错误就不用安装)
# sudo tar zxf perl.tar.gz 
# cd perl
# sudo ./configure.gnu --prefix=/usr -Dpager"/bin/less -isR"
# sudo make 
# sudo make install
# cd
安装pam(编译openssh8.4不报pam错误就不用安装)
# sudo rpm -Uvh pam.rpm --nodeps --force
# sudo rpm -ivh pam-devel.rpm
安装openssh
# sudo tar zxf openssh-8.4p1.tar.gz
# cd openssh-8.4p1
# sudo ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-include=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords --with-pam
# sudo make
# sudo make install
查看版本
# ssh -V
# sudo install -v -m755 contrib/ssh-copy-id /usr/bin 
# sudo install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1 
# sudo install -v -m755 -d /usr/share/doc/openssh-8.4p1 
# sudo install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-8.4p1 
# sudo echo 'UsePAM yes' >> /etc/ssh/sshd_config (权限不够就进入配置文件修改 一般不用修改 最好查看一下)
# sudo cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# sudo chmod +x /etc/init.d/sshd
# sudo chkconfig --add sshd
# sudo chkconfig sshd on
# sudo chmod -R 600 /etc/ssh/*
# sudo service sshd restart
# ssh -V
以下是一些常见的报错
如果跳板机或其他软件登录报错(类似下面这种)
SecureCRT
Key exchange failed.
No compatible key exchange method.The server supports thesemethods:
telnet登录操作
# sudo vi /etc/ssh/sshd_config
添加
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
如果报
Password authentication failed.
Please verify that the username and password are correct.
# sudo cp /etc/pam.d.bak/sshd /etc/pam.d
然后在重启服务
# sudo systemctl restart sshd
# ssh -V
telnet先不要退出 可以在开一个服务器 用刚刚升级完的服务器进行连接测试
等确定没有问题之后在关闭telnet或者卸载telnet
此方法不一定适合所有 仅作为一个参考方法
要对生产环境保持敬畏之心！！！

	

	

点击上方蓝字关注我们
 今日互动话题 
今年的圣诞节你想怎么过？
好好学习下openssh版本如何升级修复低版本漏洞吧
由于openssh爆出一个特殊漏洞，涉及到8.3p1及以下版本，升级到8.4p1版本进行漏洞修复。
首先我们需要检查当前环境：
[root@test]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
为保证顺利升级：
注意：如果机器做过安全基线整改，建议先自行备份/etc/pam.d/sshd文件，升级后，此文件会被覆盖，如果未修改过，按照文章后续的进行覆盖即可。亦请务必确定系统版本为：CentOS7。
首先我们需要下载8.4p1升级包：
可通过以下网址下载：
wget https://cikeblog.com/s/openssh8.4-6.zip
然后我们进行解压：
unzip openssh8.4-6.zip 
下面开始安装：注意需要在root权限下执行
安装方法一：
rpm -Uvh *.rpm
 
安装方法二(此方法会自动处理依懒关系)：
yum install ./*.rpm
 
部分机器使用方法二安装会提示依赖问题，这里强烈推荐使用以下方法进行升级：
yum update *.rpm
 
安装成功未报错，至此，升级完成，如果之前升级过的，下面的就不用看了，直接新开SSH终端连接即可。我们通过命令ssh -V查看版本已经为8.4p1。然后我们用systemctl status sshd查看发现服务状态异常。
因为OPENSSH升级后，/etc/ssh/sshd_config会还原至默认状态，我们需要进行相应配置：
首先执行：cd /etc/ssh/
然后依次执行以下命令
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "PasswordAuthentication yes"  >> /etc/ssh/sshd_config
systemctl restart sshd
 
注意：升级后重启SSH可能出现以下错误：
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
[FAILED]
sshd.service: control process exited, code=exited status=1
Failed to start SYSV: OpenSSH server daemon.
Unit sshd.service entered failed state.
sshd.service failed.
 
解决办法：
chmod 0600 /etc/ssh/ssh_host_ed25519_key
service sshd restart
 
即可解决。
注意，/etc/pam.d/sshd这个文件也会被覆盖，我们需要进行还原：首先清空配置文件，执行如下命令：
>/etc/pam.d/sshd;
 
然后再还原，复制以下所有命令一次性执行：
echo '#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth'>/etc/pam.d/sshd
 
至此，升级完成，此时先别关闭终端，我们直接新开一个终端，连接到服务器做连通性测试。
注意：如果新开终端连接的时候 ，root密码报错，并且已经根据上面进行后续操作，那可能就是SElinux的问题，我们可以进行临时禁用：
setenforce 0 
即可正常登录，然后我们修改/etc/selinux/config 文件，执行以下命令：
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config 
进行永久禁用SElinux即可。
然后我们在新开一个终端连接到服务器进行测试，发现连接成功，再次使用ssh -V进行查看版本，如下：
[ydp@localhost ~]$ ssh -V
OpenSSH_8.4p1, OpenSSL 1.0.1e-fips 11 Feb
2013
最后我们再使用systemctl status sshd查看服务状态，显示服务正常：
[ydp@localhost ~]$ systemctl status sshd
● sshd.service - SYSV: OpenSSH server
daemon
  
Loaded: loaded (/etc/rc.d/init.d/sshd; bad; vendor preset: enabled)
  
Active: active (running) since Thu 2020-12-17 23:31:58 CST; 32min ago
    
Docs: man:systemd-sysv-generator(8)
 
Process: 11886 ExecStop=/etc/rc.d/init.d/sshd stop (code=exited,
status=0/SUCCESS)
 
Process: 11896 ExecStart=/etc/rc.d/init.d/sshd start (code=exited,
status=0/SUCCESS)
 Main
PID: 11904 (sshd)
   
Tasks: 4
  
CGroup: /system.slice/sshd.service
        
  ├─11904 sshd: /usr/sbin/sshd
[listener] 0 of 10-100 startups
          
├─12084 sshd: ydp [priv]
          
├─12086 sshd: ydp@notty
          
└─12087 /usr/libexec/openssh/sftp-server
本次分享就到这里了，下次再会！
关注ICTworker加星标，提升ICT技能
喜欢就点个在看再走吧 

原文地址：通过关闭 UseDNS和GSSAPIAuthentication选项加速 SSH登录

通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话，服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名，然后根据查询出的客户端主机名进行DNS正向A记录查询，并验证是否与原始 IP地址一致，通过此种措施来防止客户端欺骗。平时我们都是动态 IP不会有PTR记录，所以打开此选项也没有太多作用。我们可以通过关闭此功能来提高连接 OpenSSH 服务器的速度。

服务端步骤如下：

编辑配置文件 /etc/ssh/sshd_config

vim /etc/ssh/sshd_config

找到 UseDNS选项，如果没有注释，将其注释

#UseDNS yes

添加

UseDNS no

找到 GSSAPIAuthentication选项，如果没有注释，将其注释

#GSSAPIAuthentication yes

添加

GSSAPIAuthentication no

保存配置文件

重启 OpenSSH服务器

/etc/init.d/sshd restart

 

 

一、安装openssh服务


点击左下角"win图标"，"设置"





找到"应用"模块





点进"可选功能"





点"添加功能"





点"OpenSSH服务器",右下方会有个"安装"，点击安装





安装开始后，在可选功能界面会有个进度条，耐心等待安装完成即可。




 

二、OpenSSH连接的使用


以管理员身份运行"命令提示符"！以管理员身份运行"命令提示符"！以管理员身份运行"命令提示符"！





net start sshd # 开启ssh服务  (windows中)

net stop sshd # 关闭ssh服务  (windows中)   
服务的开启和关闭不影响你使用ssh连接,只要你有OpenSSH客户端

logout             # linux中退出系统 (不想输入,直接Ctrl+D组合键也可)



注意看下图，在我进行ssh root连接后(root是远程linux的用户名,ip是linux中使用ifconfig命令获得的)，输入正确的密码，logout这部分是linux中使用的退出连接。




要进行这样的实际操作，需要有一台可以远程连接的电脑(也可以是本地虚拟机)