【补补漏洞吧】等保测评OpenSSH漏洞补漏方法

木子Linux2024-10-30 11:26

一、项目背景

客户新系统上线,因为行业网络安全要求,需要做等保测评,通过第三方漏扫工具扫描系统,漏扫报告显示OpenSSH服务拥有一个高危漏洞,两个中危漏洞,具体结果如下:

1、OpenSSH 命令注入漏洞(CVE-2020-15778)

2、OpenSSH 用户枚举漏洞(CVE-2018-15919)

3、OpenSSH 安全漏洞(CVE-2017-15906)

最好的解决方案是将OpenSSH升级到最新版本

二、工具准备

所需软件链接:

官网:https://www.openssh.com/portable.html

安装说明:https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/INSTALL

下载:

FTP:https://www.openssh.com/portable.html#ftp

RSYNC:https://www.openssh.com/portable.html#rsync

HTTP:https://www.openssh.com/portable.html#http

三、补漏步骤

1、执行脚本ssh.sh

bash 复制代码 
chmod +x ssh.sh

sh ssh.sh

脚本具体的内容如下:

bash 复制代码 
##SSH升级

## 安装启动并配置telnet服务 | 防止ssh升级失败无法访问服务器
yum install -y telnet-server* telnet xinetd
systemctl enable xinetd.service
systemctl enable telnet.socket
systemctl start telnet.socket
systemctl start xinetd.service
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securetty
​
echo "************************************备份开始************************************"
cp /usr/bin/ssh /usr/bin/ssh.bak || echo "已备份"
cp /usr/sbin/sshd /usr/sbin/sshd.bak || echo "已备份"
mv /usr/bin/openssl /usr/bin/openssl.bak || echo "已备份"
mv /etc/ssh /etc/ssh.bak || echo "已备份"
echo "************************************备份结束****************************************"
​
yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel
yum install -y pam* zlib*
ls /root | grep openssh-8.5p1 || wget -c https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.5p1.tar.gz
ls /root | grep openssl-1.1.1g || wget -c https://ftp.openssl.org/source/openssl-1.1.1g.tar.gz
​
tar -zxvf openssl-1.1.1g.tar.gz
cd openssl-1.1.1g
./config shared && make && make install
\cp -rvf include/openssl /usr/include/
ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -snf /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so
ln -snf /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -snf /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so
ln -snf /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ldconfig
openssl version
echo $?
​
cd /root
tar -zxvf openssh-8.5p1.tar.gz
cd openssh-8.5p1
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords
make && make install
​
# 修改启动文件和pam
cp ./contrib/redhat/sshd.init /etc/init.d/sshd || echo "已执行"
cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam || echo "已执行"
mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service_bak || echo "已执行"
​
cat >> /etc/ssh/sshd_config <<EOF
#启用允许root远程登录
PermitRootLogin yes
#启用公钥身份验证
PubkeyAuthentication yes
#启用隧道明文密码
PasswordAuthentication yes
EOF
​
systemctl daemon-reload
systemctl restart sshd
systemctl status sshd
​
ssh -V
​
rm -rf /root/.ssh/known_hosts
​
echo -e "\033[33m升级成功 测试如果没有问题 记得关闭telnet服务\033[0m"

2、关闭telnet服务

自测后如果没有问题的话,自行把telnet服务关闭

bash 复制代码 
systemctl disable xinetd
systemctl disable telnet.socket
systemctl stop xinetd.service
systemctl stop telnet.socket

3、测试服务器是否可以远程登录

相关推荐
Peter_chq4 小时前
【计算机网络】多路转接之select
linux·c语言·开发语言·网络·c++·后端·select
Tony聊跨境7 小时前
反向代理服务器的用途是什么?
网络·网络协议·tcp/ip·智能路由器·ip
立昂8 小时前
关于“内网可以访问21端口,通过防火墙映射后无法访问”的问题解决
网络·智能路由器
网络安全queen9 小时前
认识网络安全
网络·网络协议·网络安全
RememberLey9 小时前
【eNSP】ISIS动态路由协议实验
网络·架构·智能路由器·ensp·动态路由协议·isis·huawei
测试的艺术10 小时前
网络知识1-TCP/IP模型
网络·网络协议·tcp/ip
熬夜的猪10 小时前
现代安全密码哈希算法
java·学习·算法·安全·哈希算法
დ旧言~10 小时前
实战项目 Boost 搜索引擎
服务器·c语言·前端·网络·汇编·c++
Sagice10 小时前
CVE-2019-13272(Linux本地内核提权)
linux·运维·服务器·网络·安全
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02玄机平台应急响应—webshell查杀03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总0404 - matlab m_map地学绘图工具基础函数 - 设置网格05Docker 夺命连环 15 问06PyTorch机器学习实现液态神经网络07鸿蒙LiteOS+Hi3861智能家居网关设计:MQTT协议实现与代码示例08支付宝短视频平台创作分成激励项目09RAG 实践- Ollama+RagFlow 部署本地知识库10centos下静态链接:/usr/bin/ld: cannot find -l某某某