前言: 服务器被安全扫描,扫出了漏洞需要修复,根据提示将openssh升级为9.8p1的版本,同时需要升级openssl,但是升级openssh可能会导致ssh连接失败,从而无法继续操作,特别是远程机房尤为危险,一不小心便要进入机房原地操作,所以安装 telnet-server 做备用链接,但是 telnet-server 不是安全链接,所以升级完成后需要关闭 telnet-server
一、 安装包准备
- 1.1 openssl下载: https://openssl-library.org/source/
- 1.2 openssh阿里云镜像下载:https://mirrors.aliyun.com/openssh/
选择需要更新的版本下载,我这里openssl 是 3.0版本,openssh 为 9.8p1的版本,telnet-server 为 yum自动选择版本安装;
二、 安装telnet-server 做备用链接(如果是本地虚拟机,或者不考虑ssh链接失败的可能,可忽略这一步)
-
安装前提醒说明一下,Telnet本身是有如下缺陷的:
- 没有口令保护,远程用户的登陆传送的帐号和密码都是明文,很容易截获,没有强力认证过程,只是验证帐户和密码。
- 没有完整性检查。传送的数据没有办法知道是否完整的未被篡改过的,传送的数据是明文。
为了避免不必要的安全风险,在升级完成 openssh 后,本文会引导卸载telnet-server。
-
2.1 使用 cat /etc/passwd 命令查看服务器是否有非root管理员账号,如果没有则添加并将管理员账号并设置密码,且允许该账号登录root账号 示例: sysadmin Sysadmin!123
coffeescript
# /etc/sudoers 文件 查看是否有其他非root账号
cat /etc/passwd
# 没有则添加 sysadmin 账号
adduser sysadmin
# 设置账号密码为 Sysadmin!123
passwd sysadmin
# 会提示输入密码,输入后会提示已修改密码成功
# 允许 sysadmin 登录root账号 /etc/sudoers 文件 中需要有 sysadmin ALL=(ALL:ALL) ALL
cat /etc/sudoers
# 没有登录需要的账号则添加 sysadmin ALL=(ALL:ALL) ALL 已有请忽略
vi /etc/sudoers
- 2.2 安装telnet
bash
# 检查是否有安装
rpm -qa telnet
rpm -qa telnet-server
rpm -qa xinetd
# 安装对应包
yum install telnet-server
yum install telnet
yum install -y xinetd
# xinetd 是 telnet-server 的守护进程,需要按照 xinetd 才能远程控制
#telnet 是控制 23 端口,防火墙释放 23端口
firewall-cmd --zone=public --add-port=23/tcp --permanent
# 重启防火墙
firewall-cmd --reload
# 如果是新安装的 telnet-server 需要配置 telnet-server 参数
cat << EOF > /etc/xinetd.d/telnet
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no
}
EOF
# 启动 telnet-server
systemctl start telnet.socket
# 启动 xinetd
systemctl start xinetd
# 验证 telnet 服务状态
systemctl status telnet.socket
# 验证 xinetd 服务状态
systemctl status xinetd -l服务都是已启动状态,尝试远程使用 telnet 登录
- 2.3 远程访问:(我这儿是局域网)
- 如果连不上,检查是否是开启了防火墙,需要将端口 23 加入防火墙白名单(连上了请忽略)
bash
#查看所有放行的端口
firewall-cmd --list-ports --permanent
# 如果没有端口23,开启端口 23
firewall-cmd --zone=public --add-port=23/tcp --permanent
# 重启防火墙
firewall-cmd --reload成功登录 root 账号后,可以完成命令操作则 telnet-server 安装完成
bash
# 连接登录后,需要输入账号
sysadmin
# 根据提示输入密码
Sysadmin!123
# 登入后切换到root账号(注意root账号是最高权限,操作需谨慎)
su
# 输入 root 账号密码,进入系统,能成功进入系统,表示备用链接已完成安装
三、 升级 openssl
- 3.1 先使用 openssl version 命令查看OpenSSL版本,版本符合要求则不升级
- 3.2 如需要升级,将安装包放到 /usr/local/ 目录下解压
bash
cd /usr/local/
tar -xvf openssl-3.4.0.tar.gz
# 解压完成后进入解压后的文件夹
cd openssl-3.4.0配置config 说明:
--prefix:指定安装目录
--openssldir:指定配置文件目录
shared:作用是生成动态连接库
zlib:使用静态的zlib压缩库
bash
# 配置安装
./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib- 如果报错,查看缺少什么插件,安装后继续
bash
# 缺少 perl-IPC-Cmd 使用yum 安装
yum -y install perl-IPC-Cmd
# 缺少 perl-Data-Dumper
yum install perl-Data-Dumper
# 安装完成后,重新执行配置
./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib- 3.3 配置成功后按开始安装
bash
# 开始安装
make
make install
# 可能会出现 缺少openssl开发依赖包,则安装
yum -y install openssl-devel
# 执行完成后,重新执行 make & make install
安装成功
- 3.4 备份旧版本配置
bash
mv /usr/bin/openssl /usr/bin/old_241114_openssl
mv /usr/lib64/openssl /usr/lib64/old_241114_openssl
mv /usr/include/openssl /usr/include/old_241114_openssl
# 删除旧版本的库连接
rm -f /usr/lib64/libssl.so.10
rm -f /usr/lib64/libcrypto.so.10- 3.5 配置启动
bash
#依次执行
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/lib64/libssl.so.3 /usr/lib64/libssl.so.3
ln -s /usr/local/ssl/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3
echo "/usr/local/ssl/lib64" >> /etc/ld.so.conf
ldconfig
# 创建软链接
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
ln -s /usr/local/openssl/lib64/libssl.so.3 /usr/lib64/libssl.so.3
ln -s /usr/local/openssl/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3
# 添加OpenSSL动态链接库 下面两个配置,先执行第一个,如果后续出问题再回来尝试第二个
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
# 如果按照openssh 找不到 ssl 库,试试这一个 库的位置跟不同的 openssl 版本有关
# echo "/usr/local/ssl/lib64" >> /etc/ld.so.conf
# 更新库缓存
ldconfig
# 查看OpenSSL版本验证安装是否成功
openssl version
openssl 安装完成
四、 升级 openssh
- 4.1 将下载的openssh 包放在 /usr/local/ 目录下解压
bash
cd /usr/local/
# 解压
tar -zxvf openssh-9.8p1.tar.gz- 4.2 卸载旧版本openSSH,注意:卸载完后千万不能断开,断开就连不上了,卸载后其他人也无法通过ssh链接(真断开了就使用最开始安装的telnet连接也能继续操作)
bash
yum remove -y openssh
# 清理残余文件,配置也会消失,做好备份
rm -rf /etc/ssh/*- 4.3 编译安装
bash
./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl
# 安装
make
make installconfigure 完成
make install 完成
- 4.4 以上操作都没有报错,则可以开始配置登录
bash
#ssh允许root登录、需要密码进行验证
echo 'PermitRootLogin yes' >>/usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >>/usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >>/usr/local/openssh/etc/sshd_config
# 修改默认端口 注意改回未升级时的端口,如果是新端口则需要设置防火墙,见第一步安装 telnet 时端口防火墙设置方法
echo 'Port 22' >>/usr/local/openssh/etc/sshd_config
#将编译安装的新配置文件 拷贝到原路径下,拷贝前记得对比 sshd_config 文件,将原有设置尽可能保存
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub
#拷贝启动脚本
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
#给sshd添加可执行权限
chmod +x /etc/init.d/sshd
#设置开机自启
systemctl enable sshd
#重新启动sshd服务
systemctl restart sshd
#查看sshd服务状态
systemctl status sshd
注意: 如果没有启动成功,千万不要断开链接,断开后就连不上了,要排查哪儿错了,解决问题后再启动成功再断开(PS:如果安装了第一步,可以使用telnet连接)
- 4.5 查看OpenSSH版本,显示新版本就是升级成功了,如果显示还是旧的话断开重连一下再查看版本,可能没刷新,重新登录还是没有,重复安装步骤,查看是否哪儿报错未及时处理
bash
ssh -V
版本都是你需要的版本,则完成安装(我这儿安装了两台不同需求的服务器,截图的版本有些不能对应上,请忽略)
五、关闭 telnet-server 避免不安全的漏洞
- 为了避免elnet本身的缺陷对服务器引发不安全漏洞,确定openssh安装完成后,关闭telnet服务端。
- 5.1 修改xinetd配置
bash
# 修改为disable=yes
vi /etc/xinetd.d/telnet 
- 5.2 重启xinetd服务,关闭telnet-server 连接
bash
# 重启xinetd服务
systemctl restart xinetd.service
# 检查telnet服务是否已关闭(如已关闭则会显示telnet = off)
chkconfig --list |grep telnet
# 检查23端口是否已关闭
netstat -tlun |grep 23
- 5.3 删除telnet-server包 (可以只删除服务端,保留用户端,看实际需求)
bash
# 只删除服务端,不删除客户端,方便以后重新安装,而且用户端可以连接其他 telnet 服务端
yum remove telnet-server -y
# 彻底删除所有依赖包
# rpm -e telnet-server--nodeps - 5.4 测试外部主机链接 telnet 已经无法在连接
- 5.5 如果操作了防火墙,需要移除端口 23 的白名单
bash
# 移除指定端口:
firewall-cmd --permanent --remove-port=23/tcp
# 重启防火墙
firewall-cmd --reload
# 查看所有放行的端口中是否没有端口 23
firewall-cmd --list-ports --permanent完成
欢迎点赞收藏一键三连!