Centos6.9中将openssh升级到到7.5
一. 安装编译工具包和telnet服务:
安装telnet服务的目的是防止后期ssh服务连不上,跑机房。
# yum install -y gcc gcc-c++ perl zlib-devel pam pam-devel tcp_wrappers-devel
# yum -y install telnet-server* telnet编辑/etc/xinetd.d/telnet文件,将disalble字段的yes改为no
允许root用户通过telnet登陆。
# mv /etc/securetty /etc/securetty.old
# /etc/init.d/xinetd restart
# chkconfig xinetd on最后telnet IP 测试一下,看看可否正常登陆。
二.升级openssl
注意:openssh7.5依赖openssl的版本要大于1.0.1e并且小于1.1.0。
上传 openssl-1.0.2k.tar.gz到服务器下software目录。
# tar zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config shared zlib
# make && make install移除原来的openssl
# mv /usr/bin/openssl /usr/bin/openssl.bak
# mv /usr/include/openssl /usr/include/openssl.bak创建软链接
# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
# ln -s /usr/local/ssl/include/openssl /usr/include/openssl将openssl的lib库添加到系统
# echo "/usr/local/ssl/lib/" >> /etc/ld.so.conf使新添加的lib 被系统找到
# ldconfig查看openssl版本
# openssl version
OpenSSL 1.0.2k 26 Jan 2017三. 升级Openssh
目前为止openssh的漏洞主要存在于openssh7.4以前的版本,本文使用的是openssh7.5
上传openssh-7.5p1.tar.gz到software目录下。
# tar zxvf openssh-7.5p1.tar.gz
# cd openssh-7.5p
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --without-openssl-header-check --with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/lib/sshd
# make && make install
# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config #允许SSH的X转发
# echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config #设置SSH允许root用户登录
# mv /etc/init.d/sshd /tmp
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd #复制SSH的启动脚本
# chmod +x /etc/init.d/sshd #添加执行权限
# chkconfig --add sshd #添加到系统服务
# chkconfig sshd on #开启sshd的开机运行
# service sshd restart
# ssh -V #查看版本号四. 关闭telnet
# chkconfig xinetd off
# service xinetd stop