【Centos6 升级openssh-9.1与openssl-1.1.1s】系统ssh补漏洞
(注意:操作前请做好备份)
1、服务器需要可以访问公网
2、需要配置DNS服务器
vim /etc/resolv.conf
3、配置Centos6 yum源,由于官方已经不维护,只能用它云& 清理缓存&在线安装依赖
wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-6.10.repo
yum clean all && yum makecache
yum -y install gcc zlib zlib-devel gcc perl pam-devel
4、升级openssl-1.1.1s
下载官网安装包(可以自备安装包)
https://www.openssl.org/source/openssl-1.1.1s.tar.gz
wget https://www.openssl.org/source/openssl-1.1.1s.tar.gz --no-check-certificate
#解压并编译安装
tar -xzvf openssl-1.1.1s.tar.gz
cd openssl-1.1.1s/ && ./config --shared zlib && make && make install
5、备份以前的文件,并创建新的软链以及版本验证
mv /usr/bin/openssl /usr/bin/openssl.bak1
mv /usr/include/openssl /usr/include/openssl.bak1
ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -s /usr/local/include/openssl/ /usr/include/openssl
echo "/usr/local/lib/" >> /etc/ld.so.conf
mv /usr/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1.bak
mv /usr/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1.bak
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ldconfig -v
openssl version
6、升级openssh9.1(可以自备安装包&下载安装包&解压)
wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.1p1.tar.gz --no-check-certificate
tar xfz openssh-9.1p1.tar.gz
#备份ssh文件夹
mv /etc/ssh /etc/ssh.bak
#隐藏openssh版本号(编辑下方文件,修改其中openssh版本即可)
vi version.h
配置并编译安装(不同系统版本默认lib与lib64不同,请注意分辨)
cd ./openssh-9.1p1
CCFLAGS="-I/usr/local/include" LDFLAGS="-L/usr/local/lib64" ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl/lib/ --with-zlib --with-md5-passwords --with-pam && make && make install
修改配置文件,添加允许root登录以及允许密码验证
vim /etc/ssh/sshd_config
PermitRootLogin yes
PasswordAuthentication yes
修改ssh启动添加开机自启
mv /usr/bin/ssh-copy-id /usr/bin/ssh-copy-id.bak
cd /root/openssh-9.1p1
install -v -m755 contrib/ssh-copy-id /usr/bin
/usr/sbin/sshd -t -f /etc/ssh/sshd_config
cp -a contrib/redhat/sshd.init /etc/init.d/sshd.init
chmod +x /etc/init.d/sshd.init
chkconfig --del sshd
mv /etc/init.d/sshd /etc/init.d/sshd.bak
mv /etc/init.d/sshd.init /etc/init.d/sshd
chkconfig --add sshd
service sshd restart
chkconfig --list |grep sshd
7、验证是否安装成功
ssh -V
openssl version
注意:上述没有卸载原有的ssh与openssl,漏洞扫描还是会扫出来原有的,请各位小伙伴自行评估是否需要协助。