openssl openssh のアップグレード
序文
SSH サービスは弱い暗号化アルゴリズムをサポートしています 脆弱性の説明:
オプション 1 を試しましたが、効果がありませんでした。この記事では主にオプション 2 を使用して openssh をアップグレードします。
1 アップグレード前情報
# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
#
# ssh -Q cipher
3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
[email protected]
aes128-ctr
aes192-ctr
aes256-ctr
[email protected]
[email protected]
[email protected]
#
2 ダウンロードしてインストールする
2.1 ダウンロード
-
公式 Web サイト
http://www.openssh.com/releasenotes.htmlから関連ソフトウェアをダウンロードします。 -
サーバーから直接ダウンロードし、
次のコマンドを実行します: wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.8p1.tar.gz
2.2 インストール
# 解压tar包
tar -zxvf openssh-7.8p1.tar.gz
# 备份ssh
cp -r /etc/ssh /etc/ssh.bak
# 进入解压后目录
cd openssh-7.8p1
# 编译及安装
./configure
make
make install
# 编辑sshd_config文件 (OpenSSH 7.0 以后的版本默认禁用了一些较低版本的密钥算法,不加这一步应该也可以)
vim /etc/ssh/sshd_config
在文件最下方添加:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
3 アップグレード後の情報
# ssh -V
OpenSSH_7.8p1, OpenSSL 1.0.2k-fips 26 Jan 2017
#
# ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
[email protected]
aes128-ctr
aes192-ctr
aes256-ctr
[email protected]
[email protected]
[email protected]
#
4つの関連コマンド
查看ssh版本号:
ssh -V
查看linux服务器上支持的ssh对称秘钥:
ssh -Q cipher
启动ssh服务:
systemctl start sshd.service
重启ssh服务:
systemctl restart sshd.service
查看ssh服务启动状态:
systemctl status sshd.service
设置服务开启自启
systemctl enable sshd.service