linux源码升级openssh-9.8p1

已于 2025-05-04 00:59:50 修改
阅读量1.7k 收藏 21
点赞数 14
文章标签: 笔记 ssh linux centos
于 2024-07-05 09:13:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44941336/article/details/137273651
版权

一、升级背景

#OpenSSH 出现高危远程代码执行漏洞,影响超过 1400 万台暴露在公网上的服务器。该漏洞是 2006 年的漏洞回归,即在 2006 年被修复但在 2020 年更改内容的时候再次引入,攻击者借助该漏洞可以获得整个系统的控制权。#

受影响的 OpenSSH 版本:

  • 低于 4.4p1 版 (不含此版本):受影响
  • 高于 4.4p1 但低于 8.5p1 (不含此版本):不受影响
  • 8.5p1 及后续版本到 9.8p1 (不含此版本):受影响

 

该漏洞的潜在影响:

攻击者利用此漏洞实际上可以以最高权限执行任意代码,因此一旦得手就可以获得整个系统和服务器的控制权,无论是安装恶意软件还是窃取数据都是轻轻松松完成。

同时 Qualys 还提到攻击者还可以借助此漏洞获得的权限绕过防火墙、入侵监测系统和日志记录机制等关键安全机制,即可以通过这些方式避免被发现并隐藏其活动。

 

二、环境介绍

环境介绍

系统版本

centos 7.9

升级openssh版本

openssh-9.8p1

openssh-9.8p1依赖

openssl-1.1.1以上

yum源

阿里云yum源

 

三、编译安装openssl-1.1.1

openssh9.4及以上版本必须要openssl-1.1.1,低于此版本openssh无法完成编译。

1、编译安装openssl软件

①上传openssl-1.1.1,源码包

源码下载:https://www.openssl.org/source/openssl-1.1.1t.tar.gz

自行上传

②安装源码依赖包

yum -y install gcc gcc-c++ zlib zlib-devel openssl openssl-devel pam-devel perl perl-Test-Simple

③解压源码包

tar -zxvf openssl-1.1.1t.tar.gz

④编译

cd openssl-1.1.1t/

./config --prefix=/usr/local/openssl shared -fPIC

⑤构建软件生成项目依赖关系

make depend

验证程序稳定、正确性

make tests

⑥安装

make && make install

2、配置安装的openssl环境

①查看函数库,检查缺少的函数库

ldd /usr/local/openssl/bin/openssl

添加缺少的函数库

echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

或者配置环境变量

export OPENSSL_ROOT_DIR=/usr/local/openssl

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$OPENSSL_ROOT_DIR/lib

②更新函数库

ldconfig -v

再次检查函数库是否缺少

ldd /usr/local/openssl/bin/openssl

③检查源码安装的版本

] # /root/openssl-1.1.1t/apps/openssl version (此为源码安装包的openssl程序)

OpenSSL 1.1.1t 7 Feb 2023

或者使用编译安装后的openssl路径

/usr/local/openssl/bin/openssl version (安装的openssl路径程序)

④查看旧版本openssl命令路径

which openssl

查看旧版本openssl版本

] # /usr/bin/openssl version

OpenSSL 1.0.2k-fips 26 Jan 2017

⑤将旧版本openssl移除,新版本放入该位置代替

mv /usr/bin/openssl /usr/bin/openssl.old

ln  -s  /usr/local/openssl/bin/openssl  /usr/bin/openssl

⑥为openssl下的加密解密文件libcrypto和加密模块库libssl创建软连接

ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1

ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

⑦配置环境变量

]# export CFLAGS="-I/usr/local/openssl/include"

]# export LDFLAGS="-L/usr/local/openssl/lib"

]# export LD_LIBRARY_PATH="/usr/local/openssl/lib"

至此openssl环境配置完成,解决openssh编译依赖问题。

 

四、编译安装openssh-9.8p1

源码安装之前,可以使用yum remove将openssh及其依赖软件卸载,卸载后不退出或者不重启服务器当前连接的ssh终端不会中断。

# yum remove openssh (卸载软件需谨慎,不卸载软件也可以区分程序所在路径位置,或者可以使用sshd -V进行版本查看)

yum卸载openssh后,删除/etc/ssh目录,清理掉旧版软件的配置文件

yum  remove  openssh

rm  -rf  /etc/ssh

 

1、编译安装openssh软件

①将openssh-9.8p1源码包传入服务器

https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

②解压openssh-9.8p1.tar.gz包

tar -zxvf openssh-9.8p1.tar.gz

③进入源码目录进行编译

cd openssh-9.8p1/

./configure --prefix=/usr/local --sysconfdir=/etc/ssh

注释:--prefix=指定程序安装目录 --sysconfdir=指定配置文件目录

如果编译出现报错,说明openssl环境仍有问题。

checking OpenSSL header version... 100020bf (OpenSSL 1.0.2k  26 Jan 2017)
checking for OpenSSL_version... no
checking for OpenSSL_version_num... no
checking OpenSSL library version... configure: error: OpenSSL >= 1.1.1 required (have "100020bf (OpenSSL 1.0.2k-fips  26 Jan 2017)")

执行一下命令,再次编译即可运行成功(在配置openssl已执行)

]# export CFLAGS="-I/usr/local/openssl/include"
]# export LDFLAGS="-L/usr/local/openssl/lib"
]# export LD_LIBRARY_PATH="/usr/local/openssl/lib"

④编译安装文件

编译安装之前,可以选择删除/etc/ssh目录,因为安装时会生成这个目录下的文件,不删除的话,这些配置文件不会被系统覆盖

这个截图中显示,ssh的配置文件已存在,不会被安装。而且旧版的配置文件,79、80、96行的配置不被支持。

编译安装软件

make && make install

⑤安装完成后可以使用sshd -V检查openssh版本

这里我执行sshd  -V,输出版本为OpenSSH_9.8p1。是我已经yum卸载了openssh。卸载openssh后,旧版的sshd命令也被删除了(/usr/sbin/sshd),我源码编译安装的程序sshd路径在(/usr/local/sbin/sshd)

⑥使用源码安装出的sshd程序开启ssh服务

/usr/local/sbin/sshd -f /etc/ssh/sshd_config

 

2、注释

1、"-f /etc/ssh/sshd_config":指定程序运行加载的配置文件

2、make install 安装完成服务以后,会提示“/usr/local/sbin/sshd -t -f /etc/ssh/sshd_config”运行程序,测试带有“-t”运行的命令无法开启sshd服务。

3、使用sshd程序运行服务时,必须使用完整的绝对路径执行sshd程序,否则无法运行程序;

# /usr/local/sbin/sshd -f /etc/ssh/sshd_config

# sshd -f /etc/ssh/sshd_config 不使用完整路径无法运行程序,翻译为:sshd要求使用绝对路径执行

4、第一次运行服务时,会遇见即使输入root密码正确但是也无法进入系统。 原因为:源码安装生成的配置文件默认禁用了root登录,需要在配置文件/etc/ssh/sshd_config内“PermitRootLogin”后面的参数改为“yes”,重新启动程序后即可正常使用root登录。

3、编译安装过程中的报错

问题一:卸载旧版软件时没有清理配置文件,源码编译安装时会出现权限问题。这里是因为我安装时没有删除/etc/ssh目录,安装前直接删除,可能不会有这个报错。

解决方案:

    chmod 0600 /etc/ssh/ssh_host_rsa_key
    chmod 0600 /etc/ssh/ssh_host_ecdsa_key
    chmod 0600 /etc/ssh/ssh_host_ed25519_key

 

 

 

Linux环境下OpenSSH升级OpenSSH_9.8p1(内置保姆级教程并包含openssl升级过程)
菜鸟运维升级之路
08-14 2万+
2024年7月1日接到安全部门同事邮件通知,目前生产环境及测试环境服务器Openssh存在远程代码执行漏洞(CVE-2024-6387),漏洞等级高,且攻击者可以成功利用该漏洞获得远程root shell最高权限从而执行任意代码及命令,主要受影响版本为8.5p1
045-SSH版本升级-openssh-9.8p1
君临天下的博客
06-30 3749
漏洞描述OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 9.6之前版本存在安全漏洞,该漏洞源于存在操作系统命令注入漏洞。
openssh9.8p1(解决CVE-2024-6387安全漏洞)各Linux操作系统的rpm包
forestqq的博客
07-04 6239
近日,奇安信CERT监测到官方修复OpenSSH 远程代码执行洞(CVE-2024-6387),该洞是由于OpenSSH服务器(sshd)中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。目前该漏洞技术细节已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。以下为本人编译的openssh9.8p1包。
OpenSSH_9.8p1升级
m0_62855213的博客
07-04 833
OpenSSH_9.8p1升级步骤,CVE-2024-6387漏洞
升级openssh(7.4p1--9.8p1
最新发布
weixin_62693307的博客
05-06 1081
验证是否成功(这里有一种特别情况,就是你明明已经上述步骤都已经做好了,可为什么还是显示的老版本的,这里我能给出的解决方案就是重启机器最好,当然也可以去修改配置文件,但这里我试过了,然后的结果就是导致服务起不来,所以我这里就不写如何修改配置文件了)这里要注意的是我们要安装的openssh这个软件,所以我们要优先解决他的安装依赖,而这里就是openssl-1.1.1t.tar.gz、zlib.tar.gz这两个,第一个是环境依赖,第二个是软件依赖。
Rocky Linux 9.4基于官方源码制作openssh 9.8p1二进制rpm包 —— 筑梦之路
筑梦之路
07-02 2626
2024年7月1日,openssh 9.8版本发布,主要修复了CVE-2024-6387安全漏洞。由于centos 7的生命周期在6月30日终止,因此需要逐步替换到Rocky Linux,后续会有更多分享关于Rocky Linux的文章。
Linux系统升级OpenSSH版本到openssh-9.8p1
tomcat_zhu的博客
07-10 1678
1升级OpenSSH就要对应的升级OpenSSL,所以要同时要准备openssh-9.8p1.tar.gz和openssl-3.3.1.tar.gz。2、将两个压缩包上传到/home/user目录。
Linux 服务器升级 openssh9.8 详解!!
云Reece的博客
07-30 5279
2024年7月1日,openssh 发布了最新版 9.8,但是下载最新版openssh9.8,也需要将 openssl 也一并进行升级
Linux服务器升级openssh9.8最新版全过程,及遇到问题处理
热门推荐
qq18346342939的博客
07-03 1万+
由于2024年7月1日,openssh发布了最新版9.8,所以服务器需要升级一下,特此做个详细记录:由于下载最新版openssh9.8,需要将openssl也一并进行升级
升级 Ubuntu 主机上的 OpenSSH8.9p19.8p1
小小的木头人的博客
07-02 7789
升级 Ubuntu 主机上的 OpenSSH8.9p19.8p1
OpenSSH-9.8p1源码
07-02
修复了CVE-2024-6387漏洞
openssh-9.8p1-1.el7.x86-64.rpm
07-02
OpenSSH远程代码执行漏洞(CVE-2024-6387) 目前OpenSSH上游已发布版本更新,受影响用户可通过软件源升级到最新版本(OpenSSH 9.8p1)或编译安装最新版本。
openssh-9.8p1-x86-ky10.tgz
07-02
2024年7月1日,openssh 9.8版本发布,修复CVE-2024-6387安全漏洞,该包为二进制rpm包,适用于银河麒麟v10 x86架构的CPU,内含ssh-copy-id命令,显示openssl版本信息。 2024年7月2日基于官方源码制作
openssh-9.8p1-1.el6.src.rpm
07-07
openssh 9.8p1 版本,centos 6 redhat 6 制作rpm包的源码包,内含ssh-copy-id命令,显示openssl版本信息1.1.1w 2024年7月7日 勿忘国耻,自强不息
openssh-9.8p1-1.an7.src.rpm
07-19
阿里龙蜥操作系统,openssh 9.8p1版本src源码rpm包 可用于制作openssh 二进制rpm包,显示openssl版本信息,内含ssh-copy-id命令,基于openssl1.1.1w版本制作
Linux服务器漏洞修复—OpenSSH升级9.8CentOS 7.6)
孔融送你一个梨的博客
07-21 2888
3:运行 sudo /usr/sbin/sshd -t -f /etc/ssh/sshd_config 检查配置是否正确,如果没有错误提示,就可以正常启动 SSH 服务了。建议安装,如果你升级到一半,VPN突然掉了,或者网络断开,你就连不上xshell了,如果安装了telnet后,就是网络和VPN断开,也可以进行下一步操作。注意: 需要先安装xinetd,然后安装telnet客户端,再安装telnet服务端,不然可能会报错。为了避免在生产上安装openSSH失败,安装telnet。关闭telnet服务。
OpenSSH升级至最新版本9.8
m0_56923443的博客
07-02 8447
下载链接:https://www.openssh.com/releasenotes.html,遗憾的是目前各操作系统的软件源均不支持openssh更新到最新版本,只能手动更新了。cp -a /home/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd(根据文件实际存储路径选择)OpenSSH < 4.4p1(未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁)8.5p1 <= OpenSSH < 9.8p1
升级OpenSSH 9.8p1CentOS 7)
qq_40507015的博客
07-09 2562
CentOS 7升级OpenSSH 9.8p1操作过程
openssh升级openssh-9.8p1脚本
08-09
当您需要将OpenSSH服务器从旧版本升级到新版本9.8p1时,通常会涉及到安装新的软件包并更新配置文件。以下是简化的升级步骤,假设您正在Linux系统上操作: 1. **备份当前版本**: 在开始之前,建议备份当前的`/etc/ssh`目录及其配置文件,以防升级过程中出现问题。 2. **检查依赖和现有版本**: 使用包管理器(如apt、yum或zypper)查看当前安装的OpenSSH版本: ``` sudo dpkg -l | grep openssh-server || yum list installed openssh-server ``` 3. **获取新版本源码**: 根据您的操作系统下载openssh-9.8p1源码包,例如对于Debian或Ubuntu,可能类似这样: ``` wget https://www.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz ``` 4. **解压并编译安装**: ``` tar -xzf openssh-9.8p1.tar.gz cd openssh-9.8p1 ./configure && make && sudo make install ``` 这里可能需要root权限才能安装。 5. **替换旧配置**: 将新版本的配置文件复制到正确的位置: ``` sudo cp /path/to/new/sshd_config /etc/ssh/sshd_config ``` 6. **启动新服务并测试**: 关闭旧的服务,然后启动新版本: ``` sudo service ssh stop sudo service ssh start ``` 使用命令行工具验证升级是否成功,并确认无意外错误。 7. **配置文件迁移**: 如果有自定义的配置选项,可能需要手动迁移到新的`sshd_config`文件中。 8. **重启系统**: 验证服务运行正常后,可以考虑重启系统以确保所有更改都生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

糟糕情书

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值