-
关闭openssh服务_openssh漏洞修复升级openssh8.4离线升级
2020-12-25 01:35:43主机扫描出来以下漏洞OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH漏洞OpenSSH 7.7版本至7.9版本和8.1之前的8.x版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。OpenSSH ...主机扫描出来以下漏洞
OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH
漏洞OpenSSH 7.7版本至7.9版本和8.1之前的8.x版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
OpenSSH 命令注入漏洞(CVE-2020-15778)
OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
针对这两个漏洞采用升级openssh来解决 下面是我实验出来的一些步骤和所需要的文件链接 服务器是无法连接网络的只能通过源码包安装 如果用yum那就简单多了 随便百度就一大堆 下面是我的操作步骤
此篇实施过程没有root权限 最好可以登录后执行 sudo -s 切换为root 执行 可根据自己环境操作 先编译安装openssh 缺什么在装什么
查看现在的版本和备份现有的ssh文件(准备好需要的源码包)
# ssh -V
# sudo cp -r /etc/ssh /etc/ssh.bak
# sudo cp -r /etc/pam.d /etc/pam.d.bak安装telnet 升级过程在telnet远程登录执行 避免升级失败连接不上的问题
# sudo rpm -ivh xinetd.rpm
# sudo rpm -ivh telnet.x86_64.rpm
# sudo rpm -ivh telnet-server.x86_64.rpm
# sudo systemctl restart xinetd.service
# sudo systemctl restart telnet.socket
# sudo netstat -tnl | grep 23如果telnet登录不上先查看防火墙
查看端口是否开启
# firewall-cmd --query-port=23/tcp
这里显示no就是没有开启 执行下面的命令 显示yes就是已经开启 排查其他原因
# firewall-cmd --add-port=23/tcp
这是开启23端口
# firewall-cmd --query-port=23/tcp
再次查看利用telnet远程登录进行升级(避免升级失败 一定要telnet登录操作 )
# telnet ip
安装 gcc(上传gcc源码包)
# sudo tar zxf gcc_rpm.tar.gz
# cd gcc/
# sudo rpm -ivh *.rpm --nodeps --force
# cd安装zlib
# sudo tar zxf zlib.tar.gz
# cd zlib/
# sudo ./configure
# sudo make test
# sudo make install
# sudo make clean
# sudo ./configure --shared
# sudo make test
# sudo make install
# sudo cp zutil.h /usr/local/include/
# sudo cp zutil.c /usr/local/include/
# cd安装openssl(编译openssh8.4不报openssl错误就不用安装)
# sudo tar zxf openssl.tar.gz
# cd openssl
# sudo ./config --prefix=/usr/ --shared
# sudo make
# sudo make test
# sudo make install
# sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
# sudo vi /etc/ld.so.conf
添加 /usr/local/ssl/lib
# sudo ldconfig -v
# cd安装Perl(编译openssl不报Perl错误就不用安装)
# sudo tar zxf perl.tar.gz
# cd perl
# sudo ./configure.gnu --prefix=/usr -Dpager"/bin/less -isR"
# sudo make
# sudo make install
# cd安装pam(编译openssh8.4不报pam错误就不用安装)
# sudo rpm -Uvh pam.rpm --nodeps --force
# sudo rpm -ivh pam-devel.rpm安装openssh
# sudo tar zxf openssh-8.4p1.tar.gz
# cd openssh-8.4p1
# sudo ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-include=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords --with-pam
# sudo make
# sudo make install查看版本
# ssh -V
# sudo install -v -m755 contrib/ssh-copy-id /usr/bin
# sudo install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1
# sudo install -v -m755 -d /usr/share/doc/openssh-8.4p1
# sudo install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-8.4p1
# sudo echo 'UsePAM yes' >> /etc/ssh/sshd_config (权限不够就进入配置文件修改 一般不用修改 最好查看一下)
# sudo cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# sudo chmod +x /etc/init.d/sshd
# sudo chkconfig --add sshd
# sudo chkconfig sshd on
# sudo chmod -R 600 /etc/ssh/*
# sudo service sshd restart
# ssh -V以下是一些常见的报错
如果跳板机或其他软件登录报错(类似下面这种)SecureCRT
Key exchange failed.
No compatible key exchange method.The server supports thesemethods:
telnet登录操作# sudo vi /etc/ssh/sshd_config
添加
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1如果报
Password authentication failed.
Please verify that the username and password are correct.# sudo cp /etc/pam.d.bak/sshd /etc/pam.d
然后在重启服务
# sudo systemctl restart sshd
# ssh -Vtelnet先不要退出 可以在开一个服务器 用刚刚升级完的服务器进行连接测试
等确定没有问题之后在关闭telnet或者卸载telnet
此方法不一定适合所有 仅作为一个参考方法
要对生产环境保持敬畏之心!!! -
关闭openssh服务_关于redhat7的openssh漏洞升级修复方法
2020-12-25 01:35:28好好学习下openssh版本如何升级修复低版本漏洞吧由于openssh爆出一个特殊漏洞,涉及到8.3p1及以下版本,升级到8.4p1版本进行漏洞修复。首先我们需要检查当前环境:[root@test]# ssh -VOpenSSH_7.4p1, OpenSSL 1.0.2k...点击上方蓝字关注我们
今日互动话题
今年的圣诞节你想怎么过?
好好学习下openssh版本如何升级修复低版本漏洞吧
由于openssh爆出一个特殊漏洞,涉及到8.3p1及以下版本,升级到8.4p1版本进行漏洞修复。
首先我们需要检查当前环境:
[root@test]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
为保证顺利升级:
注意:如果机器做过安全基线整改,建议先自行备份/etc/pam.d/sshd文件,升级后,此文件会被覆盖,如果未修改过,按照文章后续的进行覆盖即可。亦请务必确定系统版本为:CentOS7。
首先我们需要下载8.4p1升级包:
可通过以下网址下载:
wget https://cikeblog.com/s/openssh8.4-6.zip
然后我们进行解压:
unzip openssh8.4-6.zip
下面开始安装:注意需要在root权限下执行
安装方法一:
rpm -Uvh *.rpm
安装方法二(此方法会自动处理依懒关系):
yum install ./*.rpm
部分机器使用方法二安装会提示依赖问题,这里强烈推荐使用以下方法进行升级:
yum update *.rpm
安装成功未报错,至此,升级完成,如果之前升级过的,下面的就不用看了,直接新开SSH终端连接即可。我们通过命令ssh -V查看版本已经为8.4p1。然后我们用systemctl status sshd查看发现服务状态异常。
因为OPENSSH升级后,/etc/ssh/sshd_config会还原至默认状态,我们需要进行相应配置:
首先执行:cd /etc/ssh/
然后依次执行以下命令
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config
systemctl restart sshd
注意:升级后重启SSH可能出现以下错误:
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
[FAILED]
sshd.service: control process exited, code=exited status=1
Failed to start SYSV: OpenSSH server daemon.
Unit sshd.service entered failed state.
sshd.service failed.
解决办法:
chmod 0600 /etc/ssh/ssh_host_ed25519_key
service sshd restart
即可解决。
注意,/etc/pam.d/sshd这个文件也会被覆盖,我们需要进行还原:首先清空配置文件,执行如下命令:
>/etc/pam.d/sshd;
然后再还原,复制以下所有命令一次性执行:
echo '#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth'>/etc/pam.d/sshd
至此,升级完成,此时先别关闭终端,我们直接新开一个终端,连接到服务器做连通性测试。
注意:如果新开终端连接的时候 ,root密码报错,并且已经根据上面进行后续操作,那可能就是SElinux的问题,我们可以进行临时禁用:
setenforce 0
即可正常登录,然后我们修改/etc/selinux/config 文件,执行以下命令:
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
进行永久禁用SElinux即可。
然后我们在新开一个终端连接到服务器进行测试,发现连接成功,再次使用ssh -V进行查看版本,如下:
[ydp@localhost ~]$ ssh -V
OpenSSH_8.4p1, OpenSSL 1.0.1e-fips 11 Feb 2013
最后我们再使用systemctl status sshd查看服务状态,显示服务正常:
[ydp@localhost ~]$ systemctl status sshd
● sshd.service - SYSV: OpenSSH server daemon
Loaded: loaded (/etc/rc.d/init.d/sshd; bad; vendor preset: enabled)
Active: active (running) since Thu 2020-12-17 23:31:58 CST; 32min ago
Docs: man:systemd-sysv-generator(8)
Process: 11886 ExecStop=/etc/rc.d/init.d/sshd stop (code=exited, status=0/SUCCESS)
Process: 11896 ExecStart=/etc/rc.d/init.d/sshd start (code=exited, status=0/SUCCESS)
Main PID: 11904 (sshd)
Tasks: 4
CGroup: /system.slice/sshd.service
├─11904 sshd: /usr/sbin/sshd [listener] 0 of 10-100 startups
├─12084 sshd: ydp [priv]
├─12086 sshd: ydp@notty
└─12087 /usr/libexec/openssh/sftp-server
本次分享就到这里了,下次再会!
关注ICTworker加星标,提升ICT技能
喜欢就点个在看再走吧
-
关闭OpenSSH UseDNS选项加速SSH登录
2019-07-23 17:24:00原文地址:通过关闭 UseDNS和GSSAPIAuthentication选项加速 SSH登录 通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话,服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,...原文地址:通过关闭 UseDNS和GSSAPIAuthentication选项加速 SSH登录
通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话,服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始 IP地址一致,通过此种措施来防止客户端欺骗。平时我们都是动态 IP不会有PTR记录,所以打开此选项也没有太多作用。我们可以通过关闭此功能来提高连接 OpenSSH 服务器的速度。
服务端步骤如下:
编辑配置文件 /etc/ssh/sshd_config
vim /etc/ssh/sshd_config
找到 UseDNS选项,如果没有注释,将其注释
#UseDNS yes
添加
UseDNS no找到 GSSAPIAuthentication选项,如果没有注释,将其注释
#GSSAPIAuthentication yes
添加
GSSAPIAuthentication no保存配置文件
重启 OpenSSH服务器
/etc/init.d/sshd restart -
win10系统中openssh服务的安装、打开和关闭、连接和断开
2021-02-17 15:22:55win10,openssh服务的安装、打开和关闭、连接和断开一、安装openssh服务
点击左下角"win图标","设置"
找到"应用"模块
点进"可选功能"
点"添加功能"
点"OpenSSH服务器",右下方会有个"安装",点击安装
安装开始后,在可选功能界面会有个进度条,耐心等待安装完成即可。
二、OpenSSH连接的使用
以管理员身份运行"命令提示符"!以管理员身份运行"命令提示符"!以管理员身份运行"命令提示符"!
net start sshd # 开启ssh服务 (windows中)
net stop sshd # 关闭ssh服务 (windows中)
服务的开启和关闭不影响你使用ssh连接,只要你有OpenSSH客户端logout # linux中退出系统 (不想输入,直接Ctrl+D组合键也可)
注意看下图,在我进行ssh root连接后(root是远程linux的用户名,ip是linux中使用ifconfig命令获得的),输入正确的密码,logout这部分是linux中使用的退出连接。
要进行这样的实际操作,需要有一台可以远程连接的电脑(也可以是本地虚拟机)
-
CentOS 6.9 升级OpenSSH版本 关闭ssh服务后门
2019-10-06 22:28:54最近用低版本的OpenSSH(5.9p1版本) 的漏洞给系统留了个后门 , 可以劫持root密码...建议升级OpenSSH ,升级OpenSSH的操作并不复杂 ,但如果是线上环境 ,那么就需要谨慎操作 特别需要注意的是 如果是通过ssh远程连... -
cygwin安装openssh服务
2017-07-18 20:11:47操作系统:windows7cygwin中需要安装的程序:openssh安装过程:参见如下链接 (需要翻墙) https://techtorials.me/cygwin/sshd-configuration/ 成功安装后可能遇到的问题: windows防火墙开启,无法正常登陆。... -
[服务器安全]升级OpenSSH,OpenSSL,vsftp,关闭NTP服务
2018-01-11 15:05:00作为服务的启动停止脚本文件/etc/init.d/sftpd #!/bin/ bash # # vsftpd This Shell script takes care of starting and stopping # standalone vsftpd. # # chkconfig: - 60 50 # description: Vsftpd is a... -
Windows Server2012 64位安装OpenSSH服务
2020-08-12 23:24:14系统配置信息如下:新安装的系统,防火墙暂时关闭 下载OpenSSH-Win32或OpenSSH-Win64 安装包,根据不同的系统选择不同的安装包,如果是64位系统,选择32位可以。 下载地址:... -
openssh
2019-01-07 16:24:42关闭防火墙和SELinux2.安装ssh3.生成密钥4.scp的应用四、自定义 SSH 服务配置五、ssh密码生成密令 一、环境说明 ip 主机名 环境 192.168.69.134 qy-server cenos7 192.168.69.131 qy-... -
Linux中的远程登陆服务(下篇)——openssh服务的用户控制/远程执行命令/登录信息
2020-06-06 00:13:14openssh服务的安全配置 端口修改 端口绑定 关闭密码认证 sshd服务的用户控制 root用户的访问控制 普通用户的访问控制 远程执行命令 sshd登陆信息修改 ... -
---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)...
2020-06-15 17:53:03一、实验环境 yxy.westos.com 172.25.254.10 lww.westos.com 172.25.254.20 ifconfig##查看ip地址 nm-connection-editor##设定ip地址 hostnamectl set-hostname##设定主机名称 ...二.Openssh... -
Linux学习笔记七(openssh服务的安全优化策略)
2019-10-15 18:20:34配置实验环境 该实验用到两个虚拟机,分别reset两台虚拟机,然后分别配置两台...关闭shell后重新打开发现更改成功: 更改另一台的主机名: 为区分两台主机将client更换shell主题色: 取消use colors from system ... -
关于redhat5.5版本离线升级openssh服务至8.4最新版本详细步骤
2020-12-16 18:31:27首先关闭防火墙 [root@localhost ~]# service iptables stop 查看防火墙状态 [root@localhost ~]# service iptables status Firewall is stopped. 永久关闭防火墙生效 [root@localhost ~]# chkconfig iptables off ... -
OpenSSH安全
2020-05-11 16:33:46OpenSSH是Linux/Unix下一款加密通讯软件,同时也是我们用来远程控制Linux/Unix服务器重要的必装软件。对于各版本的Linux及Unix发行版而言,OpenSSH的配置文件位置都各不一样。如Ubuntu下OpenSSH配置文件就在/etc/ssh... -
linux服务器升级openssh-7.9p1
2019-11-26 16:59:19openssh完整升级安装过程 一:关闭SELinux 如果更新升级之后,xshell连接输入正确用户名和密码不是提示不正确,请检查SELinux状态。 1、查看SELinux状态: 1./usr/sbin/sestatus -v ##如果SELinux status参数为... -
CentOS7 openssh升级8.3p1 不关闭SElinuxs使用ssh登录排错
2020-09-20 21:34:00新部署CentOS7 服务器,内网扫描发现有中风险漏洞,然后将openssh由7.4升级至8.3p1,升级完成后在确认密码账号正确的情况下SSH无法登录,通过关闭。 提示:下面案例可供参考 一、升级过程 参考... -
CentOS 7升级OpenSSH
2019-10-03 10:06:24目录 下载openssh安装包 安装telnet 卸载旧的openssh 安装依赖 安装openssh 重启验证 关闭telnet服务 参考 下载openssh安装包 下载地址 wget htt... -
ubuntu 12.04中openssh守护进程sshd关闭和启动的方法
2014-02-25 11:50:28一、OpenSSH简介 OpenSSH是安全Shell协议族(SSH)的一个免费版本。...OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程的中的数 据,并由此来代替原来的类似服务。 Ope -
openssh升级步骤_Linux OpenSSH升级方案
2021-01-23 16:54:38由于Linux服务器SSH版本过低,会遇到如下OpenSSH安全漏洞(建议:升级至最新版)前期准备:a.关闭防火墙,防止其他同地址端机器无法telnet连接至升级SSH的机器。b.开启telnet服务(此处是为了防止SSH升级失败,导致无法... -
Centos升级OpenSSH
2020-09-22 15:54:49关闭SELinux,这步非常重要,否则重新登录后会连不上服务器 vi /etc/sysconfig/selinux 将SELINUX的值改为disabled 重启服务器生效 安装包准备 在镜像网站上下载安装包 镜像网站:... -
openssh升级笔记
2008-11-18 16:46:00一、关闭并卸载RedHat9.0自带的Openssh 1.1 停止服务 #service sshd stop 1.2 卸载Openssh #rpm -e openssh --nodeps #rpm -e openssh-server --nodeps #rpm -e openssh-clients --nodeps #rpm -e openssh-askpass-... -
CentOS6.5 升级 openssh-7.9 笔记
2019-02-19 13:41:03因为升级过程中需要关闭openssh,因此有与服务器失去连接的危险,因此需要先安装telnet-server,将telnet 服务开启,确保telnet 能连接到服务器的情况下,才可以开始进行升级 先确认下服务器的版本,查看下linux 的... -
linux openssh版本升级
2016-12-28 13:57:14一: OpenSSH 升级前的准备工作如下:1 开启telnet 服务,可以使用telnet 进行服务器登陆操作,关闭SSH服务,telnet开启和关闭服务不做说明,(如是在本机上直接操作就不需要telnet服务。) 检查时按照telnet server... -
linux openssh升级笔记
2018-11-13 15:19:59注:因为要关闭ssh服务(关闭后服务ssh无法连接),最好先打开telnet(网上有方法)。 1、安装编译所需工具包: yum -y install gcc pam-devel zlib-devel 2、查看当前版本: ssh -V 3、下载openssh(不同版本): ... -
openssh8.0.tar.gz
2019-08-16 12:29:48## 关闭图形界面 systemctl set-default multi-user.target rpm -Uvh --nodeps ./openssh_rpm/*.rpm # 把新的 /etc/pam.d/sshd文件备份,并恢复原来版本的 /etc/pam.d/sshd /bin/cp ./sshd /etc/pam.d/sshd # ... -
OpenSSH学习笔记(安装配置openssh-4.6p1)[zz]
2012-07-25 17:02:00本文系作者原创,转载请保留出处:http://marion.cublog.cn 一、关闭并卸载RedHat9.0自带的Openssh 1.1 停止服务 #service sshd stop 1.2 卸载Openssh #rpm -e openssh --nodeps #rpm -e openssh-... -
OpenSSH for windows (64bits)
2020-11-09 16:34:521,下载openSSH windows版(注:该版本是...2)开放22号端口(如果你在windows关闭了防火墙并配置了入站规则可以不执行如下命令,多执行不影响) netsh advfirewall firewall add rule name=sshd dir=in action=allow p
-
Animate CC 2020 (An) 下载安装教程 (亲测有效)
-
InfluxDBStudio-0.1.0.rar
-
Mysql数据库面试直通车
-
WEB应用安全问题
-
1151 LCA in a Binary Tree (30 分) 测试点2
-
基于公路交通速度数据的减少冗余和节假日速度预测
-
Laravel-boilerplate-crud:任务应用程序-Laravel CRUD-源码
-
php 通过 java-bridge 调用 java 程序 错误处理(1)
-
使用基于HITS的推理模型从出租车轨迹中搜索旅客
-
用Go语言来写区块链(一)
-
PX4修改仿真时间流速
-
浅谈Android软硬件巧妙整合的开发技巧
-
pgAdmin.rar
-
文件的拖拽Dropzone
-
EditPic.zip
-
蓝牙耳机买什么品牌好一些,高性价比蓝牙耳机推荐
-
2021年 系统分析师 系列课
-
在共享单车系统中实现最佳免费行车计划
-
加速扩张中的喜茶、奈雪们,为其它品牌提供了怎样的私域启示?
-
NTP/PTP/卫星授时您的自动化系统会选哪个?