【centos7】openssh⽤户枚举漏洞(CVE-2018-15919)和安
全漏洞(C。。。
环境:
操作系统:centos7.7
cve漏洞库openssl:OpenSSL 1.0.1e-fips(系统⾃带)
openssh:OpenSSH_7.4.1p1(系统⾃带)
如果修复这两个漏洞需要升级openssh到8.1(⽽且我还没有升级openssl),反正我升级到8.0还是有⼀个漏洞没有被关闭。
查看了很多⼤佬的博客后,⼀直不敢升级,后来漏洞实在需要填补,就只能硬着头⽪在测试环境中测试好后,在⽣产中执⾏,其中最重要的⼀步就是⼀定要做⾜准备,如果ssh不可⽤,怎么登陆到bash。
⾸先,安装telnet-server,yum install telnet-server,修改/etc/securetty,在最后添加pts/0,pts/1,pts/2,pts/3,然后启动telnet,命令为systemctl start telnet.socket,然后通过telnet尝试登陆是否成功,成功后第⼀步才算完成。
第⼆,把ssh服务,关闭,openssh相关的包卸载,备份ssh配置⽂件,此步需要慎重。命令为systemctl stop sshd;卸载:for i in $(rpm -qa |grep openssh);do rpm -e $i --nodeps;done。
第三,编译openssh源码包,下载地址:,我习惯在编译之前把centos⾃带的开发⼯具包安装上,基本不会再编译的时候碰到缺少某某包的问题,命令:yum groupisntall "Development Tools";解压tar包后,执⾏以下命令
# 执⾏⾃带的openssl,其他是⼀些模块和配置⽬录,⾄于模块是什么意思,不太懂
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords--with-pam --with-tcp-wrappers  --with-ssl-dir=/usr/bin/openssl --without-hardening # 编译
make
# 安装
make install
第四,把编译后的openssh进⾏复制。
cp contrib/redhat/sshd.init /etc/init.d/sshd
chkconfig --add sshd
chkconfig sshd on
chkconfig --list|grep sshd
第五,修改/etc/ssh/sshd_config配置⽂件
PermitRootLogin yes    #允许root登录
UseDNS no    #禁⽌使⽤,提升连接速度
第六,启动试试,正常启动即可。
systemctl restart sshd
systemctl is-enabled sshd
第七,ssh -V查看版本,OpenSSH_8.1p1即可。
由于我在⽣产环境中,没有os镜像源,也没办法去编译,就把make后的⽂件夹全部拷贝到⽣产环境,然后直接执⾏make install即可安装(涨知识了,我也是第⼀次这样搞,超赞的我!)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。