漏洞扫描工具扫描出openssh用户枚举漏洞，搜索资料得知无补丁和升级包，解决这个漏洞得安装漏洞修复之后的版本version>7.8。

环境

linux版本: CentOS Linux release 7.5.1804

ssh版本: OpenSSH_7.4p1

升级前准备

• 备份

  • 备份ssh配置

    mkdir -p /bak

    cp -ar /etc/ssh /bak

  • 备份老版本的openssh软件包

    [root@localhost soft]# rpm -qa|grep openssh
    
    openssh-7.4p1-16.el7.x86_64
    
    openssh-server-7.4p1-16.el7.x86_64
    
    openssh-clients-7.4p1-16.el7.x86_64

    可以去网上下载，这里上传的云盘:

    链接: https://pan.baidu.com/s/1K9PRWji99IeSoWc6O6rcfw 提取码: ex5v

    下载openssh7.4.zip， 将这些文件全部上传至要升级的服务器。

  • 安装telnet服务，防止ssh升级后登录不上

    网盘里telnet.zip解压安装即可:

    [root@localhost telnet_dir]# ls
    
    telnet-0.17-64.el7.x86_64.rpm  telnet-server-0.17-64.el7.x86_64.rpm  xinetd-2.3.15-13.el7.x86_64.rpm
    
    [root@localhost telnet_dir]# rpm -iv --force --nodeps *.rpm
    
    [root@localhost telnet_dir]# chkconfig xinetd on
    
    注意：正在将请求转发到“systemctl enable xinetd.service”。
    
    [root@localhost telnet_dir]# chkconfig telnet on
    
    注意：正在将请求转发到“systemctl enable telnet.socket”。
    
    Created symlink from /etc/systemd/system/sockets.target.wants/telnet.socket to /usr/lib/systemd/system/telnet.socket.
    
    [root@localhost telnet_dir]#  systemctl start telnet.socket
    
    [root@localhost telnet_dir]#  systemctl start xinetd
    
    # 测试telnet是否连接正常，默认配置不支持root登录，最好建一个普通用户登录，再su到root，升级完成再userdel -r 删除用户即可，也可以更改配置允许root通过telnet登录。
    
    [root@localhost telnet_dir]#  useradd tom
    
    [root@localhost telnet_dir]#  passwd tom
    
    进行远程telnet连接测试
    
    

构建openssh7.9p1的rpm包

这里为了更省事，防止网络等环境问题，构建openssh的rpm包进行安装。上面从我的网盘链接里下载了openssh.zip文件的可以忽略这一步，因为openssh.zip里面已经构建好了openssh7.9p1的rpm包，直接进行升级安装即可。

[root@localhost ~]# mkdir -p /usr/src/redhat/{SOURCES,SPECS}

[root@localhost ~]# cd /usr/src/redhat/SOURCES/

[root@localhost SOURCES]# wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz

[root@localhost SOURCES]# tar -zvxf openssh-7.9p1.tar.gz openssh-7.9p1/contrib/redhat/openssh.spec

[root@localhost SOURCES]# mv openssh-7.9p1/contrib/redhat/openssh.spec ../SPECS/

[root@localhost SOURCES]# chown sshd:sshd /usr/src/redhat/SPECS/openssh.spec

[root@localhost SOURCES]# cp /usr/src/redhat/SPECS/openssh.spec  /usr/src/redhat/SPECS/openssh.spec_def

[root@localhost SOURCES]# sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" /usr/src/redhat/SPECS/openssh.spec

[root@localhost SOURCES]# sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" /usr/src/redhat/SPECS/openssh.spec

[root@localhost SOURCES]# mkdir -p ~/rpmbuild/SOURCES/

[root@localhost SOURCES]# cp /usr/src/redhat/SOURCES/openssh-7.9p1.tar.gz ~/rpmbuild/SOURCES/

[root@localhost SOURCES]# cd /usr/src/redhat/SPECS/

[root@localhost SPECS]# rpmbuild -ba openssh.spec

[root@localhost SPECS]# ll /root/rpmbuild/RPMS/x86_64/openssh-*

-rw-r--r-- 1 root root  496204 1月  17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-7.9p1-1.el7.x86_64.rpm

-rw-r--r-- 1 root root  548576 1月  17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-clients-7.9p1-1.el7.x86_64.rpm

-rw-r--r-- 1 root root 2508852 1月  17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-debuginfo-7.9p1-1.el7.x86_64.rpm

-rw-r--r-- 1 root root  391696 1月  17 13:31 /root/rpmbuild/RPMS/x86_64/openssh-server-7.9p1-1.el7.x86_64.rpm

参考：https://blog.csdn.net/qq_42609381/article/details/82855043

# 编译过程遇到的错误:

错误：构建依赖失败： 	openssl-devel < 1.1 被 openssh-7.9p1-1.el7.x86_64 需要

解决：[root@localhost SPECS]# vim openssh.spec   注释掉  BuildRequires: openssl-devel < 1.1 这一行

错误：configure: error: PAM headers not found

RPM 构建错误： /var/tmp/rpm-tmp.OB3GHI (%build) 退出状态不好

解决： yum install pam-devel

错误：坏文件：/root/rpmbuild/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz: 没有那个文件或目录

解决：

wget http://ftp.riken.jp/Linux/momonga/6/Everything/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz

cp x11-ssh-askpass-1.2.4.1.tar.gz  /root/rpmbuild/SOURCES/

升级

• 卸载当前版本的openssh

  rpm -e `rpm -qa |grep openssh`
  
  如果有依赖：
  
  rpm -e `rpm -qa |grep openssh` --nodeps
  
  

• 删除/etc/ssh/下所有文件(注意检查是否备份)

  rm -rf /etc/ssh/*
  
  

• rpm安装openssh7.9p1

  unzip openssh.zip
  
  rpm -iv --force --nodeps *.rpm
  
  

• 配置服务

  设置开机启动：
  
  chkconfig sshd on
  
  编辑ssh配置文件：
  
  vim /etc/ssh/sshd_config
  
  配置： PasswordAuthentication yes
  
  如果要允许root用户ssh登录需要配置：PermitRootLogin yes
  
  服务重启
  
  service sshd restart
  
  验证连接和版本
  
  ssh -V
  
  

  可以直接恢复之前的ssh配置文件看能否成功，我这里直接恢复之前的配置文件可以启动但无法连接，我注释掉GSS和PAM后可以连接。

  #GSSAPIAuthentication yes

  #GSSAPICleanupCredentials no

  #UsePAM yes

卸载telnet

升级完成之后如果需要卸载telnet，进行如下步骤即可(卸载之前确保ssh连接已经没有问题)：

systemctl stop xinetd

systemctl stop telnet.socket

chkconfig xinetd off

chkconfig telnet off

rpm -e `rpm -qa|egrep "telnet|xinetd"`

# 最后删除之前测试telnet新建的普通用户

userdel -r tom

最新文章

1. 摘录知乎上关于android开发的话题精华
2. 命令行中使用adb安装apk
3. phpcms:七、list.html
4. WPF中控件ListView和DataGrid典型属性介绍
5. 基于keepalived 实现VIP转移，lvs，nginx的高可用
6. 24 服务AIDL
7. 基于.Net进行前端开发的技术栈发展路线（三）
8. PyCharm 安装 pip
9. 分布式监控系统Zabbix-3.0.3--短信报警设置
10. UESTC 1697 简单GCD问题（一） 筛法
11. [IDEA_1] IDEA 使用指南
12. 【转】2019年3月 最新win10激活密匙 win10各版本永久激活序列号 win10正式版激活码分享
13. EditText格式化11位手机号输入xxx xxxx xxxx
14. webpack3升级为webpack4
15. centos无法联网解决方法
16. unittest，requests——接口测试脚本及报告
17. ACS蚁群算法求解对称TSP旅行商问题的JavaScript实现
18. mysql实战优化之五： 更新/插入优化 sql优化
19. RTT学习之BSP
20. vue本地和线上环境（域名）配置

热门文章

1. JDK1.8 LongAdder 空间换时间: 比AtomicLong还高效的无锁实现
2. #pragma pack的使用
3. netcorec程序部署配置
4. 【论文阅读】Deep Mixture of Diverse Experts for Large-Scale Visual Recognition
5. 实验一 C运行环境与最简单程序设计
6. 个人常用的移动端浅灰底index.html
7. 关于动态添加iview admin路由以及刷新侧边栏
8. 【Linux】Jenkins安装（一）
9. Delphi获取本机所有的IP
10. localStorage，sessionStorage和cookie的区别