OpenSSH 拒绝服务漏洞修复简易操作手册.doc

1.1 漏洞扫描 （漏洞详情可查看扫描报告）1.1.1 问题描述1.2 解决方案目前centos的系统版本是7.2，OpenSSH版本是6.6。按照漏洞的影响平台范围，可升级OpenSSH到7.4p1版本可修复OpenSSH的漏洞。1.2.1 资源准备l 安装包和依赖包准备： 1.2.2 操作指引l 确保selinux是关闭的# getenforce如果返回Enforcing执行命令# setenforce 0vi /etc/sysconfig/selinux找到SELINUX=项，将其改为SELINUX=disabled如果返回Permissivevi /etc/sysconfig/selinux找到SELINUX=项，将其改为SELINUX=disabled如果返回Disabled直接进行下一步。l 检查gcc是否安装gcc -v如果有信息，进行下一步，如果没有，安装gcc将gcc目录下的安装包上传到/usr/src/ssh/gcc目录下cd /usr/src/ssh/gccchmod 777 *rpm -Uvh *.rpm执行gcc -v 命令，有信息即表示安装成功。l 安装telnet将telnet目录下的安装包上传到/usr/src/ssh/telnet目录下cd /usr/src/ssh/telnetchmod 777 *rpm -ivh xinetd-2.3.14-40.el6.x86_64.rpmrpm -ivh telnet-server-0.17-48.el6.x86_64.rpmvi /etc/xinetd.d/telnet 将”disable= yes”改成” disable=no”vi /etc/securetty增加pts/0pts/1pts/2执行命令：/etc/init.d/xinetd restart查看防火墙是否开启：service iptables status如果未开启，直接进行下一步，如果已经开启，需要开放端口iptables -I INPUT -p tcp -dport 23 -jACCEPTiptables -I INPUT -p udp -dport 23 -jACCEPTservice iptables save /保存service iptables restart /重启防火墙找一台可以连接此机器的电脑，telnet ip /ip用此机器的ip地址替换使用root用户登录成功即可。如图：l 安装perl首先检查是否是否安装了perlperl -v已经安装则直接进行下一步，如果未安装，将perl目录下的安装包上传到/usr/src/ssh/perl目录下cd /usr/src/ssh/perlchmod 777 *rpm -Uvh *.rpm使用perl -v查看是否安装成功。l 安装zlib将zlib目录下的安装包上传到/usr/src/ssh/zlib目录下#cd /usr/src/ssh/zlib#chmod 777 *# tar -zxvf zlib-1.2.8.tar.gz# cd zlib-1.2.8#./configure & make & make installl 安装pan-devel将pam目录下的安装包上传到/usr/src/ssh/pam目录下cd /usr/src/ssh/pamchmod 777 *rpm -Uvh *.rpml 安装openSSL将ssl目录下的安装包上传到/usr/src/ssh/ssl目录下#cd /usr/src/ssh/ssl#chmod 777 *# tar -zxvf openssl-1.0.2k.tar.gz#cd openssl-1.0.2k# ./config -prefix=/usr -openssldir=/etc/ssl -libdir=lib shared zlib-dynamic &make depend &make# make MANDIR=/usr/share/man MANSUFFIX=ssl install &install -dv -m755 /usr/share/doc/openssl-1.0.2k &cp -vfr doc/* /usr/share/doc/openssl-1.0.2k# ldconfig#cd # openssl version -a更新至OpenSSL 1.0.2k即成功如图：l 安装新的openssh将ssh目录下的安装包上传到/usr/src/ssh/ssh目录下# cd /usr/src/ssh/ssh#chmod 777 *# tar -zxvf openssh-7.4p1.tar.gz# cd openssh-7.4p1# groupadd -g 50 sshd &useradd -c sshd PrivSep -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd# ./configure -prefix=/usr -sysconfdir=/etc/ssh -with-md5-passwords -with-pam -with-privsep-path=/var/lib/sshd &make# make install &install -v -m755 contrib/ssh-copy-id /usr/bin &install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1 &install -v -m755 -d /usr/share/doc/openssh-7.4p1 &install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.4p1# sed -i /GSSAPICleanupCredentials/s/GSSAPICleanupCredentials yes/#GSSAPICleanupCredentials yes/ /etc/ssh/sshd_config# sed -i /GSSAPIAuthentication/s/GSSAPIAuthentication yes/#GSSAPIAuthentication yes/ /etc/ssh/sshd_config# sed -i /GSSAPIAuthentication/s/GSSAPIAuthentication no/#GSSAPIAuthentication no/ /etc/ssh/sshd_config#service sshd restartl 确认openssh升级成功#ssh -v显示：OpenSSH_7.4p1, OpenSSL 1.0.2k 26 Jan 2017关闭ssh连接，新建连接，连接上即为成功。vi /etc/xinetd.d/telnet将”disable= no”改成” disable=yes”执行命令：/etc/init.d/xinetd restartl 验证openssh状态尝试远程ssh进去服务器，如果能连，则成功。ssh IP查看ssh服务状态：service ssh s