Centos7利用rpm升级OpenSSH到openssh-8.3p1版本

由于openssh漏洞比较频繁,近期查出openssh8.0及以下版本有输入验证错误漏洞(CVE-2019-16905),指不定8.1版本啥时候也出漏洞,所以博客编译了一个适用于Centos7的openssh 8.3版本进行分享。

检查环境:

[root@test]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

为保证顺利升级:

注意:如果机器做过安全基线整改,建议先自行备份/etc/pam.d/sshd文件,升级后,此文件会被覆盖,如果未修改过,按照文章后续的进行覆盖即可。亦请务必确定系统版本为:CentOS7。

请确定openssh版本为7.x,openssl版本为 OpenSSL 1.0.2k及以上。(正常来说,系统都为以上版本。)

下载:

wget https://cikeblog.com/s/openssh8.3.tar.gz
tar -zxvf openssh8.3.tar.gz

安装方法一:

rpm -Uvh *.rpm

安装方法二(此方法会自动处理依懒关系):

yum install ./*.rpm

安装后会如下提示:

[root@test ~]# rpm -Uvh *.rpm
Preparing...                          ################################# [100%]
Updating / installing...
   1:openssh-8.1p1-1.el7              ################################# [ 14%]
   2:openssh-clients-8.1p1-1.el7      ################################# [ 29%]
   3:openssh-server-8.1p1-1.el7       ################################# [ 43%]
   4:openssh-debuginfo-8.1p1-1.el7    ################################# [ 57%]
Cleaning up / removing...
   5:openssh-server-7.4p1-16.el7      ################################# [ 71%]
   6:openssh-clients-7.4p1-16.el7     ################################# [ 86%]
   7:openssh-7.4p1-16.el7             ################################# [100%]
[root@test ~]# ssh -V
OpenSSH_8.1p1, OpenSSL 1.0.2k-fips  26 Jan 2017
[root@768 ~]#

至此,升级完成,因为OPENSSH升级后,/etc/ssh/sshd_config会还原至默认状态,我们需要进行相应配置:

cd /etc/ssh/
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "PasswordAuthentication yes"  >> /etc/ssh/sshd_config
systemctl restart sshd

注意:升级后重启SSH可能出现以下错误:

It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
[FAILED]
sshd.service: control process exited, code=exited status=1
Failed to start SYSV: OpenSSH server daemon.
Unit sshd.service entered failed state.
sshd.service failed.

解决办法:

chmod 0600 /etc/ssh/ssh_host_ed25519_key
service sshd restart

即可解决。

注意,/etc/pam.d/sshd也文件会被覆盖,我们进行还原:
先清空:

>/etc/pam.d/sshd;

再还原:

echo '#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth'>/etc/pam.d/sshd

至此,升级完成,先别关闭终端,直接新开一个终端,连接到服务器测试。

注意:如果新开终端连接的时,root密码报错,并且已经根据上面后续操作,那可能就是SElinux的问题,我们进行临时禁用:

setenforce 0

即可正常登录,然后修改/etc/selinux/config 文件:

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

进行永久禁用SElinux即可。

注意:
如果Centos7默认openssl版本不为OpenSSL 1.0.2k,就需要先进行升级:

yum install openssl -y

然后回到第一步进行安装即可。

» 本文链接:Centos7利用rpm升级OpenSSH到openssh-8.3p1版本
» 转载请注明来源:刺客博客
» 如果文章失效或者安装失败,请留言进行反馈
评论 ( 9)
  1. avatar
    沙发
    learn2003 25 天前

    厉害,依赖包怎么解决

    • avatar
      回复
      刺猬 25 天前
      @learn2003 基本都打包进去了,推荐使用 yum install ./*.rpm 可以自动解决依赖关系。
      • avatar
        回复
        learn2003 25 天前
        @刺猬 怎么不把openssl111g也搞个rpm升级呀
        • avatar
          回复
          刺猬 25 天前
          @learn2003 前人栽树:https://github.com/philyuchkoff/openssl-1.1.1g-RPM-Builder
          • avatar
            回复
            learn2003 25 天前
            @刺猬 能加个微信做朋友吗
  2. avatar
    板凳
    learn2003 25 天前

    openssh-8.3p1的rpm包,请问你是从哪里下载的

    • avatar
      回复
      刺猬 25 天前
      @learn2003 openssh官网下载的
      • avatar
        回复
        learn2003 25 天前
        @刺猬 官网没有找到rpm,只有tar,可以发个网址吗
        • avatar
          回复
          刺猬 25 天前
          @learn2003 官网下载二进制安装包自己编译成rpm的 :smile: