場景描述與升級方案
1:場景描述
下圖爲綠盟科技 遠程安全評估系統檢測漏洞截圖
本文檔參照綠盟提供解決辦法:源碼安裝 openssh5.0以上廠商p1補丁安裝包 (本文檔爲6.0p1)
下載地址
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.0p1.tar.gz
2:升級源碼補丁安裝包前所需條件
檢查openssl 版本在0.9.6以上
# rpm –qa |grep openssl
檢查zlib版本在1.2.1.2以上
編譯OpenSSH需要zlib-devel軟件包,這個軟件包包括頭文件和函數庫。編譯使用zlib的壓縮和解壓函數的程序,就要事先安裝這個軟件包。
#rpm –qa |grep zlib
3:升級
使用root用戶登錄系統進入到/root 上傳openssh-6.0p1.tar.gz到該目錄下
1: 備份原rpm啓動腳本到當前路徑下
#cp /etc/init.d/sshd ./
2:停止服務
#/etc/init.d/sshd stop
3: 查看已安裝rpm openssh
#rpm –qa |grep openssh
4:刪除原rpm openssh軟件包
#rpm -e openssh-server-4.3p2-29.el5 openssh-4.3p2-29.el5 openssh-clients-4.3p2-29.el5 openssh-askpass-4.3p2-29.el5
5:解壓源碼補丁安裝包(會在當前路徑下創建openssh6.0p1目錄)
#tar -zxvf openssh 6.0p1.tar.gz
6: 進入該目錄
#cd /root/openssh6.0p1
7: 配置指定安裝目錄 同時不檢查zlib版本(節省時間如果zlib版本過低那麼就會造成openssh的源文件無法編譯成功)
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check
8:make 編譯
9:make install 安裝
10:檢查是否升級成功
#ssh –V
下圖爲升級成功
11:vim /etc/ssh/sshd_config 修改配置文件(參照下方sshd配置文件安全配置要求)
12:拷貝啓動腳本到/etc/init.d/下
#cp /root/sshd /etc/init.d/
13: 開啓服務
#/etc/init.d/sshd start
開啓服務時會有一個提示
因爲這個路徑目錄已經通過卸載rpm包被刪除、手動創建一個即可(該路徑在啓動腳本中爲通過日誌記錄sshd服務的啓動信息)
#mkdir /var/empty/sshd
14:設置SSHD服務爲開機啓動
#chkconfig --add sshd
#chkconfig sshd on
15:檢查端口是否正常
#netstat -an |grep :22
sshd配置文件安全配置要求
sshd配置文件路徑/etc/ssh/sshd_config
Protocol 2 #爲使用的協議
X11Forwarding yes #允許窗口圖形傳輸使用ssh加密 yes允許
IgnoreRhosts yes #完全禁止sshd使用.rhosts文件 yes禁止
RhostsAuthentication no #不設置使用基於rhosts的安全驗證
RhostsRSAAuthentication no #不設置使用RSA算法的基於rhosts的安全認證
HostbasedAuthentication no #不允許基於主機白名單的方式認證
PermitEmptyPasswords no #不允許空密碼
給以下增加註釋
#GSSAPICleanupCredentials no 是否在用戶退出登錄後自動銷燬用戶憑證緩存。默認值是"yes"。僅用於SSH-2
#GSSAPIAuthentication 是否允許使用基於 GSSAPI 的用戶認證。默認值爲"no"。僅用於SSH-2。
#USEPAM=YES 使用pam認證 NO
修改後保存推出vim重啓服務