升级openssl和openssh
最近接收到客户的漏洞提醒,openssl和openssh的漏洞,解决办法就只有升级。
升级前环境
~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
~]# rpm -qa | grep openssl
openssl-1.0.1e-15.el6.x86_64
~]# uname -r
2.6.32-431.el6.x86_64
~]# rpm -qa |grep zlib
zlib-1.2.3-29.el6.x86_64
zlib-devel-1.2.3-29.el6.x86_64
升级前后:
| 升级前 | 升级后 | |
|---|---|---|
| Openssl | Openssl_1.0.1e-fips | openssl-1.0.2j |
| Openssh | Openssh_5.3p1 | Openssh-6.9p1 |
升级前准备
为了防止升级openssh过程中出现问题,ssh连接断开,需要保证连接不能断开,此处使用telnet连接,也可安装别的dropbear等
telnet只允许普通用户登陆
~]# yum install telnet_server telnet -y
~]# vim /etc/xinetd.d/telnet
将disable项由yes改成no
~]# service xinetd restart
重启后即可连接
操作过程
一、安装zlib
源码安装openssh、openssl,为了避免zlib库文件版本过低,同时编译安装zlib库
~]# tar xf zlib-1.2.7.tar.gz
~]# cd zlib-1.2.7
~]# ./configure --shared
...
Checking for return value of vsnprintf()... Yes.
Checking for attribute(visibility) support... Yes.
**Looking for a four-byte integer type... Found.**
//这个是由于zlib并非使用的标准autotools,没有考虑交叉编译的情况,这个错误是执行测试程序导致的,用于检测32bit整型是int还是long还是别的,该错误无关紧要,可以忽略
~]# make && make test
~]# make install
二、安装openssl
由于openssh依赖于openssl库,所以在安装openssh前要先安装openssl库
~]# tar xf openssl-1.0.2j.tar.gz
~]# cd openssl-1.0.2j
~]# ./config shared //默认安装路径(/usr/local/ssl)
~]# make && make test //测试没报错,继续往下执行
~]# make install
备份及软链接命令:
~]# mv /usr/bin/openssl{,_bak}
~]# mv /usr/include/openssl{,_bak}
~]# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
~]# ln -s /usr/local/ssl/include/openssl /usr/include/openssl
搜索出可共享的动态链接库,进而创建出动态装入程序(ld.so)所需的连接和缓存文件,让刚安装的openssl动态链接库为系统所共享。
~]# sed -i '1 i /usr/local/ssl/lib' /etc/ld.so.conf //在文件行首添加新安装的openssl
~]# ldconfig //加载
查看版本:
~]# openssl version -a
**OpenSSL 1.0.2j 26 Sep 2016**
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/ssl"
三、安装openssh
更新openssh前,为了防止ssh连接断开,最好先telnet进服务器,防止意外发生
~]# mkdir /usr/local/myssh/ssh -p //安装在自己新建的目录里
~]# tar xf openssh-7.4p1.tar.gz
~]# cd openssh-7.4p1
~]# ./configure --prefix=/usr/local/myssh --sysconfdir=/usr/local/myssh/ssh --with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/myempty --with-privsep-user=sshd --with-zlib --with-ssl-engine --with-md5-passwords --disable-etc-default-login
~]# make && make install
备份及软链接命令:
~]# mv /etc/init.d/sshd{,_bak}
~]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd //拷贝启动脚本
~]# chmod u+x /etc/init.d/sshd
~]# mv /usr/sbin/sshd{,_bak}
~]# ln -s /usr/local/myssh/sbin/sshd /usr/sbin/sshd //sshd命令
~]# mv /usr/bin/ssh-keygen{,_bak}
~]# ln -s /usr/local/myssh/bin/ssh-keygen /usr/bin/ssh-keygen //老的ssh-keygen默认没有-A参数,如果不链接,就会有提示信息“ssh-keygen: illegal option -- A”
~]# mv /usr/bin/ssh{,_bak}
~]# mv /usr/local/myssh/
查看版本:
~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2j 26 Sep 2016
修改配置文件,并检验升级是否成功
~]# vim /usr/local/myssh/ssh/sshd_config
修改如下配置项:
- PermitRootLogin yes //允许root用户登陆