linux系统的安全加固,一般都会将openssh服务升级到最新版本,加强远程连接的安全性。
一、首先打开两个或以上的shell连接,因为在升级过程中如果升级失败会导致无法新建shell连接;或开一个telnet服务。
在安装之前先记下sshd.pid路径,因为在启动文件sshd中要更改此路径。
下载openssl-1.0.2l.tar.gz、openssh-7.5p1.tar.gz包并将安装包传入服务器中;
卸载现有版本openssh:rpm -e rpm -qa |grep openssh
删除/etc/ssh/下所有文件,在卸载完openssh后此路径下文件不会删除,需手动删除;
二、具体步骤:
1、 安装依赖包yum -y install gcc libcap libcap-devel glibc-devel
2、 升级openssl
tar zxvf /tmp/openssl-1.0.2l.tar.gz -C /tmp
cd /tmp/openssl-1.0.2l
./config --prefix=/usr –shared
备注:(一定记得加上--shared选项, 否则openssh编译的时候会找不到新安装的openssl的library, 会报错: openssl的 header和library版本不匹配。)
make
make install
3、升级openssh
tar zxf /tmp/openssh-7.5p1.tar.gz -C /tmp
cd /tmp/openssh-7.5p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
make
make install
echo "PermitRootLogin no" >>/etc/ssh/sshd_config
service sshd restart
4、验证
[root@localhost ~]# ssh -V
OpenSSH_7.5p1, OpenSSL 1.0.2l 29 May 2019
备注:
另外,安装目录为/usr/,因为在启动文件中有关于SSHD的路径,此安装目录默认为redhat启动文件的路径
可在配置文件/etc/ssh/sshd_config中修改
三、加固
修改hosts.all和hosts.deny
以ssh允许192.168.220.1和telnet允许192.168.220网段为例,具体在/etc/hosts.allow加入内容如下: