精华内容
下载资源
问答
  • 主机扫描出来以下漏洞OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH漏洞OpenSSH 7.7版本至7.9版本和8.1之前的8.x版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。OpenSSH ...

    主机扫描出来以下漏洞

    OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH
    漏洞OpenSSH 7.7版本至7.9版本和8.1之前的8.x版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
    OpenSSH 命令注入漏洞(CVE-2020-15778)
    OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
    针对这两个漏洞采用升级openssh来解决 下面是我实验出来的一些步骤和所需要的文件链接 服务器是无法连接网络的只能通过源码包安装 如果用yum那就简单多了 随便百度就一大堆 下面是我的操作步骤

    此篇实施过程没有root权限 最好可以登录后执行 sudo -s 切换为root 执行 可根据自己环境操作 先编译安装openssh 缺什么在装什么

    • 查看现在的版本和备份现有的ssh文件(准备好需要的源码包)

     # ssh -V
    # sudo cp -r /etc/ssh /etc/ssh.bak
    # sudo cp -r /etc/pam.d /etc/pam.d.bak
    • 安装telnet 升级过程在telnet远程登录执行 避免升级失败连接不上的问题

    # sudo rpm -ivh xinetd.rpm
    # sudo rpm -ivh telnet.x86_64.rpm
    # sudo rpm -ivh telnet-server.x86_64.rpm
    # sudo systemctl restart xinetd.service
    # sudo systemctl restart telnet.socket
    # sudo netstat -tnl | grep 23
    •  如果telnet登录不上先查看防火墙

    查看端口是否开启
    # firewall-cmd --query-port=23/tcp
    这里显示no就是没有开启 执行下面的命令 显示yes就是已经开启 排查其他原因
    # firewall-cmd --add-port=23/tcp
    这是开启23端口
    # firewall-cmd --query-port=23/tcp
    再次查看
    • 利用telnet远程登录进行升级(避免升级失败 一定要telnet登录操作 )

    # telnet ip
    • 安装 gcc(上传gcc源码包)

    # sudo tar zxf gcc_rpm.tar.gz
    # cd gcc/
    # sudo rpm -ivh *.rpm --nodeps --force
    # cd
    • 安装zlib

    # sudo tar zxf zlib.tar.gz
    # cd zlib/
    # sudo ./configure
    # sudo make test
    # sudo make install
    # sudo make clean
    # sudo ./configure --shared
    # sudo make test
    # sudo make install
    # sudo cp zutil.h /usr/local/include/
    # sudo cp zutil.c /usr/local/include/
    # cd
    • 安装openssl(编译openssh8.4不报openssl错误就不用安装)

    # sudo tar zxf openssl.tar.gz 
    # cd openssl
    # sudo ./config --prefix=/usr/ --shared
    # sudo make
    # sudo make test
    # sudo make install
    # sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
    # sudo vi /etc/ld.so.conf
    添加 /usr/local/ssl/lib
    # sudo ldconfig -v
    # cd
    • 安装Perl(编译openssl不报Perl错误就不用安装)

    # sudo tar zxf perl.tar.gz 
    # cd perl
    # sudo ./configure.gnu --prefix=/usr -Dpager"/bin/less -isR"
    # sudo make
    # sudo make install
    # cd
    • 安装pam(编译openssh8.4不报pam错误就不用安装)

    # sudo rpm -Uvh pam.rpm --nodeps --force
    # sudo rpm -ivh pam-devel.rpm
    • 安装openssh

    # sudo tar zxf openssh-8.4p1.tar.gz
    # cd openssh-8.4p1
    # sudo ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-include=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords --with-pam
    # sudo make
    # sudo make install
    • 查看版本

    # ssh -V
    # sudo install -v -m755 contrib/ssh-copy-id /usr/bin
    # sudo install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1
    # sudo install -v -m755 -d /usr/share/doc/openssh-8.4p1
    # sudo install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-8.4p1
    # sudo echo 'UsePAM yes' >> /etc/ssh/sshd_config (权限不够就进入配置文件修改 一般不用修改 最好查看一下)
    # sudo cp -p contrib/redhat/sshd.init /etc/init.d/sshd
    # sudo chmod +x /etc/init.d/sshd
    # sudo chkconfig --add sshd
    # sudo chkconfig sshd on
    # sudo chmod -R 600 /etc/ssh/*
    # sudo service sshd restart
    # ssh -V

    以下是一些常见的报错
    如果跳板机或其他软件登录报错(类似下面这种)

    SecureCRT
    Key exchange failed.
    No compatible key exchange method.The server supports thesemethods:
    telnet登录操作

    # sudo vi /etc/ssh/sshd_config
    添加
    KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1

    如果报
    Password authentication failed.
    Please verify that the username and password are correct.

    # sudo cp /etc/pam.d.bak/sshd /etc/pam.d
    • 然后在重启服务

    # sudo systemctl restart sshd
    # ssh -V

    telnet先不要退出 可以在开一个服务器 用刚刚升级完的服务器进行连接测试
    等确定没有问题之后在关闭telnet或者卸载telnet
    此方法不一定适合所有 仅作为一个参考方法
    要对生产环境保持敬畏之心!!!

    96594849d562fd2de02e547bbdd14f76.png

    展开全文
  • 好好学习下openssh版本如何升级修复低版本漏洞吧由于openssh爆出一个特殊漏洞,涉及到8.3p1及以下版本,升级到8.4p1版本进行漏洞修复。首先我们需要检查当前环境:[root@test]# ssh -VOpenSSH_7.4p1, OpenSSL 1.0.2k...
    f93f1ab4452b6bede01cd458aca9e991.png

    点击上方蓝字关注我们

    db8140c47d5de718207aa171b9e1094e.png

    9e9978ebf61e5504c5f8f84eab232ece.png

     今日互动话题 

    今年的圣诞节你想怎么过?

    好好学习下openssh版本如何升级修复低版本漏洞吧

    6d8b63d486bb3d21fd55bf2842db7a8f.gif71ce6a82975ba9efc90b91cb55c4a135.png

    由于openssh爆出一个特殊漏洞,涉及到8.3p1及以下版本,升级到8.4p1版本进行漏洞修复。

    首先我们需要检查当前环境:

    [root@test]# ssh -V

    OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

    为保证顺利升级:

    注意:如果机器做过安全基线整改,建议先自行备份/etc/pam.d/sshd文件,升级后,此文件会被覆盖,如果未修改过,按照文章后续的进行覆盖即可。亦请务必确定系统版本为:CentOS7

    首先我们需要下载8.4p1升级包:

    可通过以下网址下载:
    wget https://cikeblog.com/s/openssh8.4-6.zip
    然后我们进行解压:
    unzip openssh8.4-6.zip 

    下面开始安装:注意需要在root权限下执行

    安装方法一:

    rpm -Uvh *.rpm
     

    安装方法二(此方法会自动处理依懒关系):

    yum install ./*.rpm
     

    部分机器使用方法二安装会提示依赖问题,这里强烈推荐使用以下方法进行升级:

    yum update *.rpm
     

    安装成功未报错,至此,升级完成,如果之前升级过的,下面的就不用看了,直接新开SSH终端连接即可。我们通过命令ssh -V查看版本已经为8.4p1。然后我们用systemctl status sshd查看发现服务状态异常。

    因为OPENSSH升级后,/etc/ssh/sshd_config会还原至默认状态,我们需要进行相应配置:

    首先执行:cd /etc/ssh/
    然后依次执行以下命令
    chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
    echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
    echo "PasswordAuthentication yes"  >> /etc/ssh/sshd_config
    systemctl restart sshd
     

    注意:升级后重启SSH可能出现以下错误:

    It is required that your private key files are NOT accessible by others.
    This private key will be ignored.
    Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
    Unable to load host key: /etc/ssh/ssh_host_ed25519_key
    sshd: no hostkeys available -- exiting.
    [FAILED]
    sshd.service: control process exited, code=exited status=1
    Failed to start SYSV: OpenSSH server daemon.
    Unit sshd.service entered failed state.
    sshd.service failed.
     

    解决办法:

    chmod 0600 /etc/ssh/ssh_host_ed25519_key
    service sshd restart
     

    即可解决。

    注意,/etc/pam.d/sshd这个文件也会被覆盖,我们需要进行还原:首先清空配置文件,执行如下命令:

    >/etc/pam.d/sshd;
     

    然后再还原,复制以下所有命令一次性执行:

    echo '#%PAM-1.0
    auth       required     pam_sepermit.so
    auth       include      password-auth
    account    required     pam_nologin.so
    account    include      password-auth
    password   include      password-auth
    # pam_selinux.so close should be the first session rule
    session    required     pam_selinux.so close
    session    required     pam_loginuid.so
    # pam_selinux.so open should only be followed by sessions to be executed in the user context
    session    required     pam_selinux.so open env_params
    session    optional     pam_keyinit.so force revoke
    session    include      password-auth'>/etc/pam.d/sshd
     

    至此,升级完成,此时先别关闭终端,我们直接新开一个终端,连接到服务器做连通性测试。

    注意:如果新开终端连接的时候 root密码报错,并且已经根据上面进行后续操作,那可能就是SElinux的问题,我们可以进行临时禁用:

    setenforce 0 

    即可正常登录,然后我们修改/etc/selinux/config 文件,执行以下命令:

    sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config 

    进行永久禁用SElinux即可。

    然后我们在新开一个终端连接到服务器进行测试,发现连接成功,再次使用ssh -V进行查看版本,如下:

    [ydp@localhost ~]$ ssh -V

    OpenSSH_8.4p1, OpenSSL 1.0.1e-fips 11 Feb 2013

    最后我们再使用systemctl status sshd查看服务状态,显示服务正常:

    [ydp@localhost ~]$ systemctl status sshd

    sshd.service - SYSV: OpenSSH server daemon

       Loaded: loaded (/etc/rc.d/init.d/sshd; bad; vendor preset: enabled)

       Active: active (running) since Thu 2020-12-17 23:31:58 CST; 32min ago

         Docs: man:systemd-sysv-generator(8)

      Process: 11886 ExecStop=/etc/rc.d/init.d/sshd stop (code=exited, status=0/SUCCESS)

      Process: 11896 ExecStart=/etc/rc.d/init.d/sshd start (code=exited, status=0/SUCCESS)

     Main PID: 11904 (sshd)

        Tasks: 4

       CGroup: /system.slice/sshd.service

               ├─11904 sshd: /usr/sbin/sshd [listener] 0 of 10-100 startups

               ├─12084 sshd: ydp [priv]

               ├─12086 sshd: ydp@notty

               └─12087 /usr/libexec/openssh/sftp-server

    本次分享就到这里了,下次再会!

    关注ICTworker加星标,提升ICT技能

    0cb2924e223a1cb6e47de69b67f8560d.png52512ba2a5ce5084506193f400193ad2.png4a59777f0d15987c4b4f24103dd50b8c.png喜欢就点个在看再走吧 8e1a474ed847fdda639a817398b24026.png
    展开全文
  • 原文地址:通过关闭 UseDNS和GSSAPIAuthentication选项加速 SSH登录 通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话,服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,...

    原文地址:通过关闭 UseDNS和GSSAPIAuthentication选项加速 SSH登录

    通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话,服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始 IP地址一致,通过此种措施来防止客户端欺骗。平时我们都是动态 IP不会有PTR记录,所以打开此选项也没有太多作用。我们可以通过关闭此功能来提高连接 OpenSSH 服务器的速度。

    服务端步骤如下:
    编辑配置文件 /etc/ssh/sshd_config
    vim /etc/ssh/sshd_config
    找到 UseDNS选项,如果没有注释,将其注释
    #UseDNS yes
    添加
    UseDNS no

    找到 GSSAPIAuthentication选项,如果没有注释,将其注释
    #GSSAPIAuthentication yes
    添加
    GSSAPIAuthentication no

    保存配置文件

    重启 OpenSSH服务器
    /etc/init.d/sshd restart

     

     

    展开全文
  • win10,openssh服务的安装、打开和关闭、连接和断开

    一、安装openssh服务

    点击左下角"win图标","设置"

    找到"应用"模块

    点进"可选功能"

    点"添加功能"

    点"OpenSSH服务器",右下方会有个"安装",点击安装

    安装开始后,在可选功能界面会有个进度条,耐心等待安装完成即可。

     

    二、OpenSSH连接的使用

    以管理员身份运行"命令提示符"!以管理员身份运行"命令提示符"!以管理员身份运行"命令提示符"!

    net start sshd # 开启ssh服务  (windows中)
    net stop sshd # 关闭ssh服务  (windows中)   
    服务的开启和关闭不影响你使用ssh连接,只要你有OpenSSH客户端

    logout             # linux中退出系统 (不想输入,直接Ctrl+D组合键也可)

    注意看下图,在我进行ssh root连接后(root是远程linux的用户名,ip是linux中使用ifconfig命令获得的),输入正确的密码,logout这部分是linux中使用的退出连接。

    要进行这样的实际操作,需要有一台可以远程连接的电脑(也可以是本地虚拟机)

     

     

    展开全文
  • 最近用低版本的OpenSSH(5.9p1版本) 的漏洞给系统留了个后门 , 可以劫持root密码...建议升级OpenSSH ,升级OpenSSH的操作并不复杂 ,但如果是线上环境 ,那么就需要谨慎操作 特别需要注意的是 如果是通过ssh远程连...
  • cygwin安装openssh服务

    2017-07-18 20:11:47
    操作系统:windows7cygwin中需要安装的程序:openssh安装过程:参见如下链接 (需要翻墙) https://techtorials.me/cygwin/sshd-configuration/ 成功安装后可能遇到的问题: windows防火墙开启,无法正常登陆。...
  • 作为服务的启动停止脚本文件/etc/init.d/sftpd #!/bin/ bash # # vsftpd This Shell script takes care of starting and stopping # standalone vsftpd. # # chkconfig: - 60 50 # description: Vsftpd is a...
  • 系统配置信息如下:新安装的系统,防火墙暂时关闭 下载OpenSSH-Win32或OpenSSH-Win64 安装包,根据不同的系统选择不同的安装包,如果是64位系统,选择32位可以。 下载地址:...
  • openssh

    千次阅读 2019-01-07 16:24:42
    关闭防火墙和SELinux2.安装ssh3.生成密钥4.scp的应用四、自定义 SSH 服务配置五、ssh密码生成密令 一、环境说明 ip 主机名 环境 192.168.69.134 qy-server cenos7 192.168.69.131 qy-...
  • openssh服务的安全配置 端口修改 端口绑定 关闭密码认证 sshd服务的用户控制 root用户的访问控制 普通用户的访问控制 远程执行命令 sshd登陆信息修改 ...
  • 一、实验环境 yxy.westos.com 172.25.254.10 lww.westos.com 172.25.254.20 ifconfig##查看ip地址 nm-connection-editor##设定ip地址 hostnamectl set-hostname##设定主机名称 ...二.Openssh...
  • 配置实验环境 该实验用到两个虚拟机,分别reset两台虚拟机,然后分别配置两台...关闭shell后重新打开发现更改成功: 更改另一台的主机名: 为区分两台主机将client更换shell主题色: 取消use colors from system ...
  • 首先关闭防火墙 [root@localhost ~]# service iptables stop 查看防火墙状态 [root@localhost ~]# service iptables status Firewall is stopped. 永久关闭防火墙生效 [root@localhost ~]# chkconfig iptables off ...
  • OpenSSH安全

    2020-05-11 16:33:46
    OpenSSH是Linux/Unix下一款加密通讯软件,同时也是我们用来远程控制Linux/Unix服务器重要的必装软件。对于各版本的Linux及Unix发行版而言,OpenSSH的配置文件位置都各不一样。如Ubuntu下OpenSSH配置文件就在/etc/ssh...
  • openssh完整升级安装过程 一:关闭SELinux 如果更新升级之后,xshell连接输入正确用户名和密码不是提示不正确,请检查SELinux状态。 1、查看SELinux状态: 1./usr/sbin/sestatus -v ##如果SELinux status参数为...
  • 新部署CentOS7 服务器,内网扫描发现有中风险漏洞,然后将openssh由7.4升级至8.3p1,升级完成后在确认密码账号正确的情况下SSH无法登录,通过关闭。 提示:下面案例可供参考 一、升级过程 参考...
  • CentOS 7升级OpenSSH

    2019-10-03 10:06:24
    目录 下载openssh安装包 安装telnet 卸载旧的openssh 安装依赖 安装openssh 重启验证 关闭telnet服务 参考 下载openssh安装包 下载地址 wget htt...
  • 一、OpenSSH简介 OpenSSH是安全Shell协议族(SSH)的一个免费版本。...OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程的中的数 据,并由此来代替原来的类似服务。 Ope
  • 由于Linux服务器SSH版本过低,会遇到如下OpenSSH安全漏洞(建议:升级至最新版)前期准备:a.关闭防火墙,防止其他同地址端机器无法telnet连接至升级SSH的机器。b.开启telnet服务(此处是为了防止SSH升级失败,导致无法...
  • Centos升级OpenSSH

    2020-09-22 15:54:49
    关闭SELinux,这步非常重要,否则重新登录后会连不上服务器 vi /etc/sysconfig/selinux 将SELINUX的值改为disabled 重启服务器生效 安装包准备 在镜像网站上下载安装包 镜像网站:...
  • openssh升级笔记

    千次阅读 2008-11-18 16:46:00
    一、关闭并卸载RedHat9.0自带的Openssh 1.1 停止服务 #service sshd stop 1.2 卸载Openssh #rpm -e openssh --nodeps #rpm -e openssh-server --nodeps #rpm -e openssh-clients --nodeps #rpm -e openssh-askpass-...
  • CentOS6.5 升级 openssh-7.9 笔记

    千次阅读 2019-02-19 13:41:03
    因为升级过程中需要关闭openssh,因此有与服务器失去连接的危险,因此需要先安装telnet-server,将telnet 服务开启,确保telnet 能连接到服务器的情况下,才可以开始进行升级 先确认下服务器的版本,查看下linux 的...
  • linux openssh版本升级

    2016-12-28 13:57:14
    一: OpenSSH 升级前的准备工作如下:1 开启telnet 服务,可以使用telnet 进行服务器登陆操作,关闭SSH服务,telnet开启和关闭服务不做说明,(如是在本机上直接操作就不需要telnet服务。) 检查时按照telnet server...
  • linux openssh升级笔记

    2018-11-13 15:19:59
    注:因为要关闭ssh服务关闭服务ssh无法连接),最好先打开telnet(网上有方法)。 1、安装编译所需工具包: yum -y install gcc pam-devel zlib-devel 2、查看当前版本: ssh -V 3、下载openssh(不同版本): ...
  • openssh8.0.tar.gz

    2019-08-16 12:29:48
    ## 关闭图形界面 systemctl set-default multi-user.target rpm -Uvh --nodeps ./openssh_rpm/*.rpm # 把新的 /etc/pam.d/sshd文件备份,并恢复原来版本的 /etc/pam.d/sshd /bin/cp ./sshd /etc/pam.d/sshd # ...
  • 本文系作者原创,转载请保留出处:http://marion.cublog.cn 一、关闭并卸载RedHat9.0自带的Openssh 1.1 停止服务 #service sshd stop 1.2 卸载Openssh #rpm -e openssh --nodeps #rpm -e openssh-...
  • OpenSSH for windows (64bits)

    2020-11-09 16:34:52
    1,下载openSSH windows版(注:该版本是...2)开放22号端口(如果你在windows关闭了防火墙并配置了入站规则可以不执行如下命令,多执行不影响) netsh advfirewall firewall add rule name=sshd dir=in action=allow p

空空如也

空空如也

1 2 3 4 5 ... 16
收藏数 310
精华内容 124
关键字:

关闭openssh服务