linux系統的安全加固,一般都會將openssh服務升級到最新版本,加強遠程連接的安全性。
一、首先打開兩個或以上的shell連接,因爲在升級過程中如果升級失敗會導致無法新建shell連接;或開一個telnet服務。
在安裝之前先記下sshd.pid路徑,因爲在啓動文件sshd中要更改此路徑。
下載openssl-1.0.2l.tar.gz、openssh-7.5p1.tar.gz包並將安裝包傳入服務器中;
卸載現有版本openssh:rpm -e rpm -qa |grep openssh
刪除/etc/ssh/下所有文件,在卸載完openssh後此路徑下文件不會刪除,需手動刪除;
二、具體步驟:
1、 安裝依賴包yum -y install gcc libcap libcap-devel glibc-devel
2、 升級openssl
tar zxvf /tmp/openssl-1.0.2l.tar.gz -C /tmp
cd /tmp/openssl-1.0.2l
./config --prefix=/usr –shared
備註:(一定記得加上--shared選項, 否則openssh編譯的時候會找不到新安裝的openssl的library, 會報錯: openssl的 header和library版本不匹配。)
make
make install
3、升級openssh
tar zxf /tmp/openssh-7.5p1.tar.gz -C /tmp
cd /tmp/openssh-7.5p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
make
make install
echo "PermitRootLogin no" >>/etc/ssh/sshd_config
service sshd restart
4、驗證
[root@localhost ~]# ssh -V
OpenSSH_7.5p1, OpenSSL 1.0.2l 29 May 2019
備註:
另外,安裝目錄爲/usr/,因爲在啓動文件中有關於SSHD的路徑,此安裝目錄默認爲redhat啓動文件的路徑
可在配置文件/etc/ssh/sshd_config中修改
三、加固
修改hosts.all和hosts.deny
以ssh允許192.168.220.1和telnet允許192.168.220網段爲例,具體在/etc/hosts.allow加入內容如下:
編輯/etc/hosts.deny文件
保存文件退出編緝後,重啓ssh服務和telnet服務(可選)
備註:
1.一個IP訪問請求連入,linux的檢查策略是先看/etc/hosts.allow中是否允許,如果允許直接放行;如果沒有,則再看/etc/hosts.deny中是否禁止,如果禁止那麼就禁止連入。
2.對/etc/hosts.allow和/etc/hosts.deny的配置不用重啓就立即生效,但不管重啓不重啓當前已有會話都不會受影響;也就是說對之前已經連入的,即便IP已配置爲禁止登錄會話仍不會強制斷開。不過不知是否所有linux都一樣,由此第四步標爲可選。
3.網上發現有些教程寫成不是sshd而是in.sshd不是in.telnetd而是telnetd的,個人覺得應該是獨立啓的不用加in.託管於xinetd的需要加in.
四、其他
1、如果升級中發生意外中斷的,可以開telnet備用
啓用
sed -i "s/yes/no/g" /etc/xinetd.d/telnet
service xinetd restart
mv /etc/securetty /etc/securettyBAK
停用
sed -i "s/no/yes/g" /etc/xinetd.d/telnet
service xinetd stop
mv /etc/securettyBAK /etc/securetty
2、升級後對ssh配置的加固
echo "PermitRootLogin no" >>/etc/ssh/sshd_config
找到#Port 22一段,這裏是標識默認使用22端口,可修改爲其他端口
echo "Ciphers aes128-cbc,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr,3des-cbc,arcfour128,arcfour256,arcfour,blowfish-cbc,cast128-cbc" >>/etc/ssh/sshd_config
service sshd restart