Centos6.9中将openssh升级到到7.5
一. 安装编译工具包和telnet服务:
安装telnet服务的目的是防止后期ssh服务连不上,跑机房。
# yum install -y gcc gcc-c++ perl zlib-devel pam pam-devel tcp_wrappers-devel # yum -y install telnet-server* telnet
编辑/etc/xinetd.d/telnet
文件,将disalble字段的yes改为no
允许root用户通过telnet登陆。
# mv /etc/securetty /etc/securetty.old # /etc/init.d/xinetd restart # chkconfig xinetd on
最后telnet IP 测试一下,看看可否正常登陆。
二.升级openssl
注意:openssh7.5依赖openssl的版本要大于1.0.1e并且小于1.1.0。
上传 openssl-1.0.2k.tar.gz到服务器下software目录。
# tar zxvf openssl-1.0.2k.tar.gz # cd openssl-1.0.2k # ./config shared zlib # make && make install
移除原来的openssl
# mv /usr/bin/openssl /usr/bin/openssl.bak # mv /usr/include/openssl /usr/include/openssl.bak
创建软链接
# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl # ln -s /usr/local/ssl/include/openssl /usr/include/openssl
将openssl的lib库添加到系统
# echo "/usr/local/ssl/lib/" >> /etc/ld.so.conf
使新添加的lib 被系统找到
# ldconfig
查看openssl版本
# openssl version OpenSSL 1.0.2k 26 Jan 2017
三. 升级Openssh
目前为止openssh的漏洞主要存在于openssh7.4以前的版本,本文使用的是openssh7.5
上传openssh-7.5p1.tar.gz到software目录下。
# tar zxvf openssh-7.5p1.tar.gz # cd openssh-7.5p # ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --without-openssl-header-check --with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/lib/sshd # make && make install # echo 'X11Forwarding yes' >> /etc/ssh/sshd_config #允许SSH的X转发 # echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config #设置SSH允许root用户登录 # mv /etc/init.d/sshd /tmp # cp -p contrib/redhat/sshd.init /etc/init.d/sshd #复制SSH的启动脚本 # chmod +x /etc/init.d/sshd #添加执行权限 # chkconfig --add sshd #添加到系统服务 # chkconfig sshd on #开启sshd的开机运行 # service sshd restart # ssh -V #查看版本号
四. 关闭telnet
# chkconfig xinetd off # service xinetd stop