安科网

升级OpenSSH7.9

lvxingzhe

lvxingzhe

2019-07-01

关注 关注

背景

企业信息安全管理日趋完善,部分软件项目须经过系统定级、备案,通过第三方等级保护测评,出具《信息安全等级保护测评报告》,才能符合验收条件。

就是一般所说的“入网安评”。

测评一定会发现漏洞和隐患,需要软件厂商或者企业运维团队针对已发现的问题清单逐一整改和加固。

一般来说,第三方安全厂商通过漏洞扫描和入侵探测,出具详细的问题清单,每条清单也会有相应的整改措施或者加固建议,然后,我们就照着清单,逐条解决。

都是些套路,本没啥惊喜——昨天却因为OpenSSH搞得一头汗。

清单上有一项:

危险等级:中危

漏洞名称:OpenSSH 用户枚举漏洞(CVE-2018-15919)

详细描述:OpenSSH 7.8及之前版本,auth-gss2.c文件存在安全漏洞。远程攻击者可利用该漏洞检测其指定的用户是否存在。

解决办法:

厂商升级:新版本OpenSSH-7.9已经修复这个安全问题,请到厂商的主页下载。
链接:http://www.openssh.com/ http://www.openssh.com/portable.html

目标服务器是CentOS7.4,起初我以为万能的RPM包再加上 yum install --downloadonly --downloaddir=<directory> <package>yum localinstall <package> 就能轻松搞定……但是……

最新的RPM是7.4p1,不符合要求

[root@localhost ~]# cat /etc/centos-release
CentOS Linux release 7.4.1708 (Core) 
[root@localhost ~]# yum info openssh
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.aliyun.com
Available Packages
Name        : openssh
Arch        : x86_64
Version     : 7.4p1

目标机器与互联网隔离,如果RPM包不可用,只能用源码编译,如果编译遇到文件缺失等问题,会比较繁琐。

多方寻找7.9p1+CentOS7的RPM资源,未果,只能编译了。

尝试源码编译

# 卸载7.4
yum uninstall openssh
# 安装编译所需的headers和libraries
yum install zlib-devel
yum install openssl-devel
yum install pam-devel
# 下载源码包
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
# 解压
tar zxvf openssh-7.9p1.tar.gz
# 切目录
cd openssh-7.9p1
# 配置
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam
# 编译
make
# 安装
make install
# 拷贝ssh-copy-id
install -v -m755 contrib/ssh-copy-id /usr/bin
# 拷贝帮助文件
install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1
# 创建文档目录
install -v -m755 -d /usr/share/doc/openssh-7.9p1
# 拷贝文档
install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.9p1
# 允许root登录(7.9改变了PermitRootLogin的默认值)
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
# 使用PAM
echo "UserPAM yes" >> /etc/ssh/sshd_config
# 注册服务
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
# 加入sshd到chkconfig管理
chkconfig --add sshd
# 设置开机启动
chkconfig sshd on
# 检查启动项
chkconfig --list sshd
# 验证版本信息 
ssh -V
# 重启ssh服务
service sshd restart

如果一切顺利,客户机能够通过ssh登录服务器。

可能遇到的错误和解决方法

在安装过程中我遇到过多个不同的错误,在总结这篇短文时,才发现那些都是弯路。

ssh连接时出错:error Could not get shadow information for <user>

服务启动成功,用户密码也都对,就是无法建立连接,可能是UsePAMSELinux的问题。

客户端登录时,即便输入了正确的密码,仍然提示:

[user@localhost~]# ssh [email protected]     
[email protected]'s password: 
Permission denied, please try again.

查看服务端日志(/var/log/messages),发现:

error: Could not get shadow information for <user>
Failed password for <user> from <ip> port <port> ssh2

这可能是因为UsePAM没有启用,检查/etc/ssh/sshd_config

# 检查UsePAM,确认是否启用了PAM
# UseAPM no
UsePAM yes

修改配置后,重启sshd服务后,服务恢复。如果编译时缺了--with-pam参数,UsePAM yes会让服务报错。

如果不想修改PAM选项,也可以关闭SELinux

# 临时关闭
setenforce 0

# 永久关闭
vi /etc/selinux/config
# 然后将 SELINUX=enforcing 修改为 SELINUX=disabled

UsePAM yes时,无论启用或禁用SELinux,都不会引发Could not get shadow information错误。

sshd启动报错:Bad SSH2 cipher spec '...'

可能是升级了opensslsshd_config配置未更新,或者配置有错,造成不一致。

可以查询当前被支持的加密方法:

[user@localhost ~]# ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
[email protected]
aes128-ctr
aes192-ctr
aes256-ctr
[email protected]
[email protected]
[email protected]

也可以用paste -s -d,直接将查询结果串接并写入配置文件:

echo 'Ciphers' `ssh -Q cipher | paste -d, -s` >> /etc/ssh/sshd_config

sshd启动报错:Bad SSH2 mac spec '...'

查询被支持的消息摘要算法:

[user@localhost ~]# ssh -Q mac
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

也可以用paste -s -d,直接将查询结果串接并写入配置文件:

echo 'MACs' `ssh -Q mac | paste -d, -s` >> /etc/ssh/sshd_config

sshd启动报错:Bad SSH2 KexAlgorithms '...'

查询支持的算法:

[user@localhost ~]# ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
[email protected]

也可以用paste -s -d,直接将查询结果串接并写入配置文件:

echo 'KexAlgorithms' `ssh -Q kex | paste -d, -s` >> /etc/ssh/sshd_config

技巧

  1. 遇到错误,服务端日志必须是首选检查点。
  2. 可借助sshd -d启用debug模式来排查问题。
  3. 可以用ssh -vvv以便更快找到问题。

参考

https://help.aliyun.com/knowl...

openssh 信息安全

lvxingzhe

lvxingzhe

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Linux ssh服务器配置代码实例

使用如下终端命令可以在 Linux 主机中安装 ssh服务器sudo apt-get install openssh-server. 1 upgraded, 5 newly installed, 0 to remove and 438 not upgrad

airfish000 2020-09-11

ssh使用总结

服务器ssh-keygen生成id_rsa和id_rsa.pub

风吹草动 2020-06-25

centos 7 源码安装openssh的方法

依赖包下载: yum -y install lrzsz zlib-devel perl gcc pam-devel

ljl 2020-06-14

升级OPENSSH踩过的坑

安装三个必要依赖包yum install gcc zlib-devel openssl-devel上传安装包,创建一个/tmp目录下,然后解压,将/etc/ssh/目录移动到本地解压安装包,进入安装目录./configure --prefix=/usr -

LiHansiyuan 2020-06-07

windows10安装openssh

ssh为secure Shell的缩写,是目前比较可靠,专为远程登录会话和其他网络服务提供安全性的协议。几乎所有的linux都支持ssh,ssh由客户端与服务器组成,通过ssh可以安全地进行远程登录,拷贝,上传,默认端口是22。mac与linux自带ssh

xiangqiao 2020-05-17

Centos 7 的防火墙和ssh连接

SSH的英文全称是Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它

hulao 2020-05-10

SSH 相关应用

参考相关网址:

heyw 2020-03-18

Linux简介及远程管理控制(一)

  Linux是一种自由和开放源码的类UNIX操作系统。  严格来讲,Linux这个词本身只表示Linux内核,并且使用GNU工程各种工具和数据库的操作系统。通常情况下,Linux被打包成桌上型电脑和服务器使用的Linux发型版本。目前市面上较知名的发行版

returnspace 2020-03-06

Openssh服务的部署及安全优化

设置workstation IP地址,ip addr show 看是否被设置好同理:设置servera 的IP设置完两台主机的地址后在servera中ping workstation服务端,测试端?

colin00 2020-02-03

DOCKER学习_011:使用Dockerfile制作docker镜像

前面使用commit的方式,制作一个docker镜像,本次介绍使用Dockerfile制作一个dockers镜像。-rw-r----- 1 root root 227 Dec 31 13:13 ssh_host_ecdsa_key. -rw-r-----

caspertian 2020-01-02

kali重新安装ssh

手滑把配置文件删除了,reinstall并没有重新装出来配置文件,最后发现需要一个个卸载包了。

风吹草动 2020-01-07

ubuntu安装SSH服务

在ubuntu中简单安装运行SSH服务。想登陆别的电脑SSH,只需安装openssh-client,ubuntu有默认安装。默认端口是22,自定义端口后需重启SSH服务:sudo /etc/init.d/ssh stopsudo /etc/init.d/s

iammrziran 2013-04-14

如何利用openssh进行对黑客密码的“草船借箭”

上节课说到黑客的密码字典和文件目录字典至关重要,并且世界各地的黑客会使用脚本或程序加载他们的字典对公网范围的所有主机进行无差别扫描。那么本文将会给大家讲解如何利用openssh进行对黑客密码的“草船借箭”。为了避免冲突,先将原ssh端口修改为高端口,并将新

mlcml 2019-12-26

Windows安装OpenSSH服务

在此罗列一些资源,且写安装注意事项。

酷云的csdn 2019-12-26

OpenSSH server on Mac OS X

OpenSSH server is part of Mac OS X and you don't need to install any additional package.To enable the OpenSSH server of Mac OS X

Macan生活点滴 2013-08-12

远程升级openssh到最新6.2p2

远程升级可以安装dropbear 替代openssh,防止丢失ssh连接,dropbear默认使用22端口,启动dropbear前 修改openssh的默认端口,或者启动加 -p 端口。修改ssh端口,启动openssh

ConquerALL 2013-09-13

centos安装openssh

安装好了CentOS 6.2,我想让它作为一个服务器,可以让我的Windows 7电脑远程登录。openssh.x86_64 : An open source implementation of SSH protocol versions 1 and 2.

heyw 2015-04-15

SSH

SSH是一个程序,用于在远程计算机上登录并执行命令。SSH旨在代替rlogin和rsh,并通过不安全的网络在两个不受信任的主机之间提供安全的加密通信。X11连接和任意TCP / IP端口也可以通过安全通道转发。openssh:ssh协议的开源实现,Cent

风吹草动 2019-11-10

ubuntu中允许root远程访问

1)确保服务器在安装过程中,选择安装openssh软件。如没有进行安装,请使用以下命令进行安装: apt-get install -y openssh-server. 2)安装完成后,使用root登录系统;

iammrziran 2015-07-08

OpenSSH 服务器配置使用指南

OpenSSH 是 SSH 协议的免费开源实现。它用安全、加密的网络连接工具代替了 telnet、ftp、 rlogin、rsh 和 rcp 工具。自从 OpenSSH 的版本 2.9 以来,默认的协议是版本 2,该协议默认使用 RSA 钥匙。使用 Op

清风了了 2007-11-28
lvxingzhe

lvxingzhe

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号