转载自 http://www.devnote.cn/article/75.html
目前,很多 Linux 发行版本中集成的 SSH 软件版本都比较老,存在一些漏洞和安全隐患,因而升级 SSH 服务成为 Linux 系统安全中非常重要的一个环节。下面就根据近期的一次实例来讲述如何升级SSH 服务。
测试于:Red Hat Enterprise 5.6
目前,很多 Linux 发行版本中集成的 SSH 软件版本都比较老,存在一些漏洞和安全隐患,因而升级 SSH 服务成为 Linux 系统安全中非常重要的一个环节。下面就根据近期的一次实例来讲述如何升级SSH 服务。
SSH 有许多标准,通常 Linux 中(Redhat, CentOS, SuSE 等)使用的是开源的OpenSSH,所以我这里也是对OpenSHH 进行升级。在升级 OpenSSH 之前,需要升级系统中的 OpenSSL (OpenSSL 可以为 OpenSSH 提供加密传输支持,是 OpenSSH 的一个中间件)版本和 Zlib (提供压缩传输支持)版本,以达到更好的安全性。
在开始升级前一定要确认系统中安装了GCC 编译器!rpm -qa |grep gcc ,如果没有显示gcc的包,就yum -y install gcc ,注意: redhat6的yum源在redhat5系统里是不能用的,不过可以用redhat6的repodata生成redhat5的repodata.xml 文件。
一、升级 Zlib
1、下载最新版本 Zlib
Zlib 官方网站:http://www.zlib.net/
目前最新版本的 Zlib 是 zlib-1.2.8.tar.gz
# cd /usr/local/src # wget -c http://www.zlib.net/zlib-1.2.8.tar.gz
2、编译安装 Zlib
# tar xzvf zlib-1.2.8.tar.gz # cd zlib-1.2.8 # ./configure --prefix=/usr/local/zlib # make # make install
这样,就把 zlib 编译安装在 /usr/local/zilib 中了。
二、升级 OpenSSL
1、下载最新版本 OpenSSL
OpenSSL 的官方网站:http://www.openssl.org
目前最新版的 OpenSSL 是 openssl-1.0.1e
# cd /usr/local/src # wget -c http://www.openssl.org/source/openssl-1.0.1e.tar.gz
2、编译安装 OpenSSL
# tar xzvf openssl-1.0.1e.tar.gz # cd openssl-1.0.1e # ./config --prefix=/usr/local/openssl # make # make test # make install
make test (这一步很重要哦!是进行 SSL 加密协议的完整测试,如果出现错误就要一定先找出哪里的原因,否则一味继续,可能最终导致 SSH 不能使用,后果很严重的!)
三、升级 OpenSSH
1、下载最新版本 OpenSSH
OpenSSH 的官方网站:http://www.openssh.com
目前最新版的 OpenSSH 是 openssh-6.3p1
# cd /usr/local/src # wget -c http://openbsd.org.ar/pub/OpenBSD/OpenSSH/portable/
2、编译安装 OpenSSH
# tar xzvf openssh-6.3p1.tar.gz # cd openssh-6.3p1 # ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --with-md5-passwords
(注意,如果 configure 时提示 PAM 有错误,一般是因为系统中没有安装 pam-devel RPM 包,找到安装光盘,安装 pam-devel 就可以解决了,rpm -ivh pam-devel版本号)
# make # make install
这样就完成了升级 SSH 的工作,在升级完成后,我们还需要修改一下 OpenSSH 的配置文件来进一步提升安全性。通过以上步骤完成的升级工作,OpenSSH 的配置文件在 /etc/ssh 下,其中 SSH Server 的配置文件是 sshd_config。
# vi /etc/ssh/sshd_config
找到:
#Protocol 2,1修改为:
Protocol 2这样就禁用了 ssh v1 协议,只使用更安全的 ssh v2 协议。
找到:
X11Forwarding yes 修改为:
X11Forwarding no (禁用 X11 转发。)
修改后保存退出。
生成ssh服务管理脚本:
进入ssh解压目录
#cd /contrib/redhat #cp sshd.init /etc/init.d/sshd #chmod +x /etc/init.d/sshd (直接覆盖,权限会继承) #chkconfig --list |grep sshd 检查ssh服务是否开机启动,如果没有,执行下面命令 #chkconfig --add sshd
最后,启动 SSH 服务使修改生效:
# /etc/init.d/sshd restart 或者 service sshd restart
重启后确认一下当前的 OpenSSH 和 OpenSSL 是否为新版:
# ssh -V
其实在我编译安装完成ssh后,执行ssh -V 命令,显示已是新版本了。
相关推荐
解决openssh网络安全漏洞,openssh升级所需要的文档,包括zlib-1.2.8.tar,openssl,openssh升级,在不卸载原版本的基础上升级(安全)。
1、本文件为OpenSSH8.3p1及相关OpenSSL、Zlib三边包,为了方便用户使用,统一打包下载。 2、适用于Redhat、Centos系统修复SSH漏洞补丁所用。 3、使用三边包,可以编写自动升级脚本,方便多台设备的升级。 4、Redhat_...
Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求,建议将其升级到最新的OpenSSH版本。OpenSSH需要依赖ZLIB和OpenSSL,因此需要从下载三者的源码包。需要注意的是:OpenSSH最新版7.4p1依赖...
---怎么一定需要资源分吗? 上传这个是为了更新OpenSSH 7.5.p1 最新版本。为了就是漏洞扫描工具报错,修复此问题。...拷贝ssh服务文件 cp ./contrib/redhat/sshd.init /etc/init.d/sshd chmod +x /etc/init.d/sshd
适用于各种Linux系统的最新OpenSSH8.3p1通用安装包,可编译安装,用于centos、ubuntu、redhat等系统OpenSSH安装及升级。附带了openssl和zlib。
OpenSSH_7.7p1需要依赖ZLIB和OpenSSL,ZLIB是最新版1.2.11,openssl版本是openssl-1.0.2o.
安装方式shell脚本:sh install-openssh.sh install-openssh.sh openssh-clients-8.0p1-1.el6.x86_64.rpm keyutils-libs-devel-1.4-5.el6.x86_64.rpm openssh-debuginfo-8.0p1-1.el6.x86_64.rpm krb5-devel-...
共包含14个安装包,包括 openssh-5.3p1-52.el6.x86_64 openssh-askpass-5.3p1-52.el6.x86_64 openssh-clients-5.3p1-52.el6.x86_64 ...对于安装配置SSH服务器来说,已经完全够了,希望对大家有用。
1、本文件为OpenSSH8.8p1、OpenSSL 1.1.1k、Zlib三个使用包。 2、适用于Redhat、Centos系统修复SSH、SSL漏洞补丁所用。 3、也可以自行下载。
#./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib # make && make ...
升级包包括以下3个 openssh-8.0p1.tar.gz openssl-1.1.1c.tar.gz zlib-1.2.11.tar.gz
压缩包包含升级所需的zlib-1.2.11、openssl-1.0.2p以及openssh 7.9、8.0和8.1版本,并附上一键升级脚本,供参考使用。请选择一个进行安装。能够有效的避免安全漏洞。