2)Openssl版本:1.0.1e-15.el6,由于升级到openssh_6.7p1,需要OpenSSL的版本在0.9.8f以上,所以这里就不用升级openssl了。直接升级openssh就行了。
linux系统的安全加固,一般都会将openssh服务升级到最新版本,加强远程连接的安全性。
通过漏洞扫描工具检测OpenSSH < 4.9“ForceCommand”指令绕过(CVE-2008-1657)、OpenSSH 用户名枚举漏洞(CVE-2018-15473),现要求修复该漏洞。(公众号:释然IT杂谈)
OpenSSL其实是一个开源的C函数库,多用于加密依赖,很多程序的编译,需要OpenSSL作为依赖包。
文章声明:此文基于木子实操撰写 生产环境:Rocky Linux release 8.3, Ubuntu 20.04.2 LTS, openssh-8.6p1 问题关键字:OpenSSH 升级, OpenSSH 更新, OpenSSH 漏洞修复
生产环境:Rocky Linux release 8.3, Ubuntu 20.04.2 LTS, openssh-8.6p1
Linux软件的依赖关系是非常复杂的,通常的Linux都是依靠软件包管理工具来自动解决依赖关系的。以经常出现的Debian和Redhat这两大类来说,无论是deb包,还是rpm,都存在很严重的依赖问题。反观这个问题在Windows和Unix系统中就比较少见。当然Windows有时候遇见缺少某个动态链接库的时候,但是非常少,即使这种情况出现了,在Windows下一般可以比较容易的解决,例如安装某个版本的VC++库。OS X(Mac OS,苹果系统算是商业Unix系统)中,这个问题也不算严重。
因安全漏扫软件扫描业务虚机,发现有openssh ssh存在漏洞,此次需将openssh5.3P1升级至OpenSSH_8.0p1
这几天因为安全漏洞扫描,扫描到时大量OpenSSH漏洞,需安全加固,主要是升级版本,以前对于升级打补丁总是不在意的,可这次中间遇到一些小问题整理成册,希望对大家有点帮助,以下是具体实现方法:
三级等保评测中对主机进行漏洞扫描发现linux主机存在高危漏洞,查看发现是OpenSSH版本过低导致,于是对主机系统OpenSSH软件版本进行升级。
SSH协议族可以用来进行远程控制,或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、rcp、ftp、rlogin、rsh都是极为不安全的,并且会使用明文传送密码。
一、安装 Zlib 1、下载最新版本 Zlib Zlib 官方网站:http://www.zlib.net/ # cd /usr/local/src # wget -c http://www.zlib.net/zlib-1.2.3.tar.gz 2、编译安装 Zlib # tar xzvf zlib-1.2.3.tar.gz # cd zlib-1.2.3 # ./configure --prefix=/usr/local/zlib # make # make install 这样,就把 zlib 编译安装在 /usr/local/zilib 中了。 二、安装 OpenSSL 1、下载最新版本 OpenSSL OpenSSL 的官方网站:http://www.openssl.org # cd /usr/local/src # wget -c http://www.openssl.org/source/openssl-0.9.8d.tar.gz 2、编译安装 OpenSSL # tar xzvf openssl-0.9.8d.tar.gz # cd openssl-0.9.8d # ./Configure --prefix=/usr/local/openssl # make # make test(这一步很重要哦!是进行 SSL加密协议的完整测试,如果出现错误就要一定先找出哪里的原因,否则一味继续可能导致最终 SSH 不能使用,后果很严重哦!) # make install 三、安装 OpenSSH 1、下载最新版本 OpenSSH OpenSSH 的官方网站:http://www.openssh.com # cd /usr/local/src # wget -c ftp://ftp.it.net.au/mirrors/OpenBSD/OpenSSH/portable/openssh-4.5p1.tar.gz 2、编译安装 OpenSSH # tar xzvf openssh-4.5p1.tar.gz # cd openssh-4.5p1 # ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --with-md5-passwords (注意,如果 configure 时提示 PAM 有错误,那一般是因为系统中没有安装 pam-devel RPM 包,找到安装光盘,安装 pam-devel 就可以解决啦) # make # make install 这样就完成了整个安装 SSH 的工作,在安装完成后,我们还需要修改一下 OpenSSH 的配置文件进一步提升安全性。通过以上步骤完成的安装工作,OpenSSH 的配置文件在 /etc/ssh 下,其中 SSH Server 的配置文件是 sshd_config。 # vi /etc/ssh/sshd_config 找到: CODE: #Protocol 2,1修改为: Protocol 2这样就禁用了 ssh v1 协议,只使用更安全的 ssh v2 协议。 X11Forwarding yes修改为: X11Forwarding no禁用 X11 转发。 修改后保存退出。 ● 生成ssh服务管理脚本 进入ssh解压目录 #cd /contrib/redhat #cp sshd.init /etc/init.d/sshd #chmod +x /etc/init.d/sshd #chkconfig --add sshd 最后,启动 SSH 服务使修改生效: # /etc/init.d/sshd restart 重启后确认一下当前的 OpenSSH 和 OpenSSL是否正确: # ssh -v 如果看到了新的版本号就没问题啦!
有小伙伴问,如何解决CVE-2021-41617漏洞漏洞?增加我Linux服务器的安全性:
测试一下telnet连接,然后就可以先放着了,这只是以防万一,接下来还是正常使用ssh连接操作
Alpine 操作系统是一个面向安全的轻型 Linux 发行版。它不同于通常 Linux 发行版,Alpine 采用了 musl libc 和 busybox 以减小系统的体积和运行时资源消耗,但功能上比 busybox 又完善的多,因此得到开源社区越来越多的青睐。在保持瘦身的同时,Alpine 还提供了自己的包管理工具 apk,可以通过 https://pkgs.alpinelinux.org/packages 网站上查询包信息,也可以直接通过 apk 命令直接查询和安装各种软件。
CentOS 官方计划停止维护 CentOS Linux 项目,并于2022年01月01日停止对 CentOS 8的维护支持,因此默认在CVM公共镜像安装的CentOS 8.X 版本,在yum升级kernel、openssl、openssh时,会找不到新版本的rmp包组件,会影响CentOS 8.X 版本的部分漏洞修复,如 CVE-2022-1292 等
注:Ubuntu的sshd_config文件没有UseDNS参数,而据我了解,其它类*NIX、*BSD操作系统的sshd_config都有UseDNS参数,且它们缺省都是"UseDNS yes",那估计Ubuntu的sshd_config虽然没有UseDNS,那它缺省也是"UseDNS yes"了
部分客户对安全会比较关注,通过外部漏洞信息文章,或者是宝塔,主机安全等安全软件的漏洞扫描功能,会得到升级OpenSSH/OpenSSL等关键系统组件到某个特定高版本的建议,于是会尝试自行从对应软件官方站点下载源码包并尝试编译安装来升级。 然而,由于该类软件对于系统正常运行和登录非常关键,非专业人员自行编译安装面临操作复杂,容易造成系统无法正常登录启动等风险。
前段时间,OpenSSH被曝出存在两个信息泄露漏洞(CVE-2018-15473和CVE-2018-15919)。其中CVE-2018-15919影响自2011年9月6日发布的5.9版本到今年8月24日发布的最新版本7.8。CVE-2018-15473则影响自1999年以来至今年7.7版本中所有版本,远程攻击者可利用漏洞猜测在OpenSSH服务器上注册的用户名。
近期对IDC机房服务器做了一次安全漏洞扫描,漏扫结果显示服务器的OpenSSH版本太低(CentOS6默认是OpenSSH_5.3p1),存在漏洞隐患,安全部门建议升级到OpenSSH_7.6p1。升级OpenSSH的操作并不复杂,但由于是线上环境,故需要谨慎操作。特别需要注意的是:如果是通过ssh远程连接服务器后进行的版本升级操作,万一升级失败了,则ssh就远程登录不上去了。当然,如果服务器安装了iDRAC远程管理卡就好说了,如果没有iDRAC远程管理卡,则需要提前开启telnet远程登录(允许root账号登录)或是到机房现场进行升级操作比较妥当!
近日曝出OpenSSH SFTP 远程溢出漏洞。OpenSSH服务器中如果OpenSSH服务器中没有配置"ChrootDirectory",普通用户就可以访问所有文件系统的资源,包括 /proc,在>=2.6.x的Linux内核上,/proc/self/maps会显示你的内存布局,/proc/self/mem可以让你任意在当前进程上下文中读写,而综合两者特性则可以造成远程溢出。 目前受影响的版本是<=OpenSSH 6.6,安恒信息建议使用该系统的用户尽快升级到最新版本OpenSSH 6.7, OpenS
12月19日,国外漏洞平台 SecurityFocus 上发布了最新的 OpenSSH(CVE-2016-10009) 远程代码执行漏洞。 漏洞描述 OpenSSH存在远程代码执行漏洞,攻击者可以通过远程攻击OpenSSH来获得服务器权限,目前未有相关POC公布。 OpenSSH是SSH(Secure SHell)协议的免费开源实现,它是取代由SSH Communications Security所提供的商用版本的开放源代码方案。目前OpenSSH是OpenBSD的子计划。OpenSSH提供了服务端后台程序
Openssh升级操作步骤(此方法仅供参考) 1 、开启telnet服务 未避免openssh升级失败,导致ssh无法连接,在升级前首先开启telnet服务。 首先要确定是否安装了telnet 修改配置文件vi /etc/xinetd.d/telnet disable=no (yes改为no) 有的机子不允许root直接登录telnet可在 默认情况不能用root身份登陆!!! 修改 /etc/securetty文件可以以root身份登陆 在tty11下加入 pts/0 pts/1 pts/2 pt
zypper in xxxxx 跟你的apt-get install xxxx等价 zypper rm xxxx 删除
本文参考 http://www.dengb.com/Linuxjc/1355285.html
蓝鲸的运维系统在我们单位使用已经快四个年头了,从刚开始的5到现在最新的7.1都有部署、测试、验证和使用。在实际的使用过程中,给我们运维提供了非常大的帮助。其中有一个场景分享给大家。这个场景是关于openssh版本升级的一个过程。
Linux系统管理员们应该经常会收到安全管理员们发来的openssh的相关漏洞,这个很常见,危险级别也比较高。通常有两种解决办法:1、升级openssh版本;2、使用TCP Wrappers或者iptables进行源地址过滤。 相信大家用TCP Wrappers的最多,我个人也觉得这是最佳方案,毕竟这个方案对系统影响最小。具体做法是修改hosts.allow和hosts.deny文件,这个随便一百度就能找到具体操作方法。 不过之前遇到过修改了hosts.allow和hosts.deny文件并重启sshd
你还在为你每次打开测试环境、生产环境需要登录而犯愁吗? 登录是必须的,但密码是可或缺的!!!
最近在搞一个迭代,发现开发环境的持续集成有些地方可以优化,但需要动到前端基础镜像; 而搞完基础镜像准备用起来的时候,问题就冒出来了。本着不能半途而废的态度,搞起~~
1. 在https://hub.docker.com 注册,搜索想要的Linux系统,这里搜ubuntu.
[root@host-192-168-5-38 ~]# openssl version
关键词:macOS Ventura、Ventura、SSH、git、Permission denied
由于本人使用的自建代码仓Gitea在docker 19版本存在bug,导致一个MR只能提交一个commit,提交第二个的时候MR就没办法merge了。
sudo apt-get install openssh-server openssh-client
Fedora Workstation 33将文件系统切换为默认使用Btrfs,而服务器版则继续使用XFS。
Alpine 的意思是“高山的”,比如 Alpine plants高山植物,Alpine skiing高山滑雪、the alpine resort阿尔卑斯山胜地。
将公钥 id_rsa.pub 上传到目标主机,保存为 ~/.ssh/authorized_keys
本文主要讲解了如何通过VirtualBox的高级网络配置实现虚拟机互通、虚拟机与主机互通以及让虚拟机可以上网。包括Host-only、NAT、仅主机模式,以及Windows和Linux环境下如何实现SSH登录,还有自定义网段和网卡命名规则等高级配置。
Port 5022 #AddressFamily any #listenAddress 0.0.0.0:22 #ListenAddress ::
漏洞 参考措施 OpenSSH 命令注入漏洞(CVE-2020-15778)厂商补丁:目前暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法;http://www.openssh.com/ 临时缓解措施:可以禁用scp,改用rsync等缓解风险(可能会导致小文件机器内拷贝变慢) OpenSSH 安全漏洞(CVE-2021-41617)厂商补丁:建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法; http://www.openssh.com/securi
本方法只适用本地升级,不适用远程升级,必须准备好OPENSSH的rpm安装包 升级步聚: 1.停止SSH服务 service sshd stop 2.备份本地SSH配置文件 cp /etc/ssh/ssh_config /etc/ssh/ssh_config.bak cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 3.卸载Openssh rpm -e openssh --nodeps rpm -e openssh-server --nodeps
yum是基于rpm的软件包管理器,他可以使系统管理人员交互和自动化地更细与管理rpm包,他能自动从服务器下载RPM包并安装,他可以自动处理依赖关系,自动安装所有需要的软件包
OpenSSH 是SSH(Secure Shell)协议免费开源的实现。SSH协议族可用来远程控制主机或在计算机间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、ftp、Rlogin都是极为不安全的,它们使用明文传输数据,甚至是使用明文传送密码,攻击者可通过嗅探等中间人攻击的方式获取传输的数据。为了保证通信安全,在1999年10月OpenSSH第一次在OpenBSD2.6里出现,它提供了服务端后台程序和客户端工具,结合OpenSSL协议实现端到端的加密传输,保证通信信道的安全,并由此来代替原来的服务。
OpenSSH升级需要对ssh卸载和安装,因此请采用 VNC连接 来进行升级操作, 进行OpenSSH原配置文件备份、旧版本OpenSSH删除、新版本OpenSSH安装。
1、查看Linux当前操作系统位数 sudo uname --m 如果显示 i686,你安装了32位操作系统 如果显示 x86_64,你安装了64位操作系统 2、查看Ubunut当前版本号 sudo lsb_release -a 3、Ubuntu 安装SSH服务 sudo apt-get install openssh-server (如果报错,那么需要更新Ubuntu源) 4、Ubuntu 修改ROOT默认口令 sudo passwd (输入新口令) 成功后,此口令即为
在需要升级OpenSSH版本的CentOS7服务器上升级OpenSSH 具体升级操作命令如下
CentOS7下制作OpenSSH 8.4p1 RPM包 1、准备条件 1)openssh-8.4p1.tar.gz源码包 https://ftp.openbsd.org/pub/OpenBSD/O
在CentOS 6.6环境使用系统自带的internal-sftp搭建SFTP服务器。
领取专属 10元无门槛券
手把手带您无忧上云