【补补漏洞吧】等保测评OpenSSH漏洞补漏方法

木子Linux2024-10-30 11:26

一、项目背景

客户新系统上线,因为行业网络安全要求,需要做等保测评,通过第三方漏扫工具扫描系统,漏扫报告显示OpenSSH服务拥有一个高危漏洞,两个中危漏洞,具体结果如下:

1、OpenSSH 命令注入漏洞(CVE-2020-15778)

2、OpenSSH 用户枚举漏洞(CVE-2018-15919)

3、OpenSSH 安全漏洞(CVE-2017-15906)

最好的解决方案是将OpenSSH升级到最新版本

二、工具准备

所需软件链接:

官网:https://www.openssh.com/portable.html

安装说明:https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/INSTALL

下载:

FTP:https://www.openssh.com/portable.html#ftp

RSYNC:https://www.openssh.com/portable.html#rsync

HTTP:https://www.openssh.com/portable.html#http

三、补漏步骤

1、执行脚本ssh.sh

bash 复制代码 
chmod +x ssh.sh

sh ssh.sh

脚本具体的内容如下:

bash 复制代码 
##SSH升级

## 安装启动并配置telnet服务 | 防止ssh升级失败无法访问服务器
yum install -y telnet-server* telnet xinetd
systemctl enable xinetd.service
systemctl enable telnet.socket
systemctl start telnet.socket
systemctl start xinetd.service
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securetty
​
echo "************************************备份开始************************************"
cp /usr/bin/ssh /usr/bin/ssh.bak || echo "已备份"
cp /usr/sbin/sshd /usr/sbin/sshd.bak || echo "已备份"
mv /usr/bin/openssl /usr/bin/openssl.bak || echo "已备份"
mv /etc/ssh /etc/ssh.bak || echo "已备份"
echo "************************************备份结束****************************************"
​
yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel
yum install -y pam* zlib*
ls /root | grep openssh-8.5p1 || wget -c https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.5p1.tar.gz
ls /root | grep openssl-1.1.1g || wget -c https://ftp.openssl.org/source/openssl-1.1.1g.tar.gz
​
tar -zxvf openssl-1.1.1g.tar.gz
cd openssl-1.1.1g
./config shared && make && make install
\cp -rvf include/openssl /usr/include/
ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -snf /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so
ln -snf /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -snf /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so
ln -snf /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ldconfig
openssl version
echo $?
​
cd /root
tar -zxvf openssh-8.5p1.tar.gz
cd openssh-8.5p1
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords
make && make install
​
# 修改启动文件和pam
cp ./contrib/redhat/sshd.init /etc/init.d/sshd || echo "已执行"
cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam || echo "已执行"
mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service_bak || echo "已执行"
​
cat >> /etc/ssh/sshd_config <<EOF
#启用允许root远程登录
PermitRootLogin yes
#启用公钥身份验证
PubkeyAuthentication yes
#启用隧道明文密码
PasswordAuthentication yes
EOF
​
systemctl daemon-reload
systemctl restart sshd
systemctl status sshd
​
ssh -V
​
rm -rf /root/.ssh/known_hosts
​
echo -e "\033[33m升级成功 测试如果没有问题 记得关闭telnet服务\033[0m"

2、关闭telnet服务

自测后如果没有问题的话,自行把telnet服务关闭

bash 复制代码 
systemctl disable xinetd
systemctl disable telnet.socket
systemctl stop xinetd.service
systemctl stop telnet.socket

3、测试服务器是否可以远程登录

相关推荐
牢七21 小时前
12345W
网络
分布式存储与RustFS1 天前
MinIO 不再“开放”,RustFS 能否成为更优选择?
开发语言·安全·安全架构·企业存储·rustfs
小刘摸鱼中1 天前
高频电子电路-振荡器的频率稳定度
网络·人工智能
00后程序员张1 天前
全面解析网络抓包工具使用:Wireshark和TCPDUMP教程
网络·ios·小程序·uni-app·wireshark·iphone·tcpdump
濊繵1 天前
Linux网络--应用层自定义协议与序列化
linux·服务器·网络
沫儿笙1 天前
镀锌板焊接中库卡机器人是如何省气的
网络·人工智能·机器人
网安小白的进阶之路1 天前
B模块 安全通信网络 第一门课 园区网实现与安全-2-ACL
网络·安全
爬山算法1 天前
Redis(135)Redis的网络模型是什么?
网络·数据库·redis
海域云-罗鹏1 天前
电商掘金日本:SDWAN专线刚需原因
服务器·网络·网络协议
2501_941149501 天前
数据隐私与安全:数字化时代的护城河与挑战
网络
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07Linux下V2Ray安装配置指南08今天 Cloudflare 全球事故,连 GPT 和你的网站都一起“掉线”了09全球最强模型Grok4,国内已可免费使用!(附教程)1046个Nano-banana 精选提示词,持续更新中