Linux7 SSH版本升级实施技术方案

1、 Linux 7.0 SSH 版本升级实施技术方案 一、前言在项目实施、运维过程中，经常会通过漏洞扫描工具检查发现Open SSH、Open SSL存在高危漏洞，如OpenSSL“心脏出血”漏洞，利用该漏洞，黑客可以获取约30%的https开头网址的用户登录账号密码，其中包括购物、网银、社交、门户等类型的知名网站等。以及OpenSSH漏洞，如“OpenSSH远程代码执行漏洞CVE-2016-10009”， sshd服务可以利用转发的agent-socket文件，欺骗本机的ssh-agent来加载一个恶意的PKCS#11模块，从而可以远程执行代码，黑客利用漏洞实现远程命令执行，严重情况下可能会导

2、致数据泄露。通过项目中进行实施总结，对Linux 7.0以上OpenSSH、OpenSSL版本升级过程进行整理，以减少小伙伴SSH版本升级失败进行“避坑“。二、实施准备1.升级规划由于主机运行业务系统的重要性，升级前检查主机Linux操作系统版本，搭建测试环境进行验证，不可盲目操作，以防导致业务系统不可访问。同时在升级时，要考虑回退方案，开启Telnet服务，确保主机可管理。2.环境检查检查Linux版本信息检查Telnet服务是否安装，如没有安装，需准备操作系统ISO介质文件进行安装。3.介质准备Open SSH官方网站安装包下载：登录/portable.html，下载最新版open ssh

3、安装包。Open SSL官方网站安装包下载：本文以openssh-7.9p1、openssl-1.0.2n版本升级为例进行介绍。ssh 登录主机，拷贝Linux 7.0 ISO、openssh-7.9p1.tar.gz、openssl-1.0.2n.tar.gz安装介质到需要安装的机器。cd /tmp4.搭建本地yum源1）、mount ISO镜像文件mkdir /macmount -o loop /tmp/rhel-server-7.0-x86_64-dvd.iso /mac2）、配置yum文件cd /etc/yum.repos.d/vi base.repo内容如下：basename=loc

4、al yumbaseurl=file:/macgpgcheck=1gpgkey=file:/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release3）、检查yum 配置是否正确yum list5.安装telnet服务安装Telnet服务，防止ssh更新时网络断开无法连接：1）、安装telnet-server yum -y install telnet-server.x86_642）、 安装xinetdyum install xinetd.x86_643）、关闭防火墙systemctl status firewalld.servicesystemctl stop f

5、irewalld.servicesystemctl disable telnet.socket4）、启动服务systemctl start telnet.socket /启动telnet服务systemctl status telnet.socket /查看服务状态#ss -tnlp | grep 23 /查看侦听端口5）、安装完成后，将xinetd服务加入开机自启动:systemctl enable xinetd.service将telnet服务加入开机自启动：systemctl enable telnet.socket6）、Telnet 远程登录测试三、实施步骤1、部署配置Open SSL

6、安装包1)安装openssl 依赖包yum install perl gcc2)解压openssl包cd /tmptar -zxvf openssl-1.0.2n.tar.gz3)安装opensslcd openssl-1.0.2n./config sharedmakemake install4)配置SSLmv -f /usr/bin/openssl /usr/bin/openssl.OFFmv -f /usr/include/openssl /usr/include/openssl.OFFln -s /usr/local/ssl/bin/openssl /usr/bin/opensslln

7、-s /usr/local/ssl/include/openssl /usr/include/opensslecho /usr/local/ssl/lib /etc/ld.so.conf/sbin/ldconfig -v/sbin/ldconfigopenssl version -a /tmp/ssh.log5)验证ssl 最新版本OpenSSL 1.0.2nopensslversion2、部署配置Open SSH安装包1)解压介质，安装依赖包cd /tmptar -zxvf openssh-7.9p1.tar.gzyum install -y pam* zlib*2)配置opensshcd

8、openssh-7.9p1./configure -prefix=/usr -sysconfdir=/etc/ssh -with-ssl-dir=/usr/local/ssl -with-md5-passwords -mandir=/usr/share/man -with-pam=enable3)删除原ssh信息rm -rf /etc/ssh/*4)编译文件makemake install5)SSH参数配置ssh -V /tmp/ssh.logrm -rf /etc/init.d/sshdcp -p /tmp/openssh-7.9p1/contrib/redhat/sshd.init /et

9、c/init.d/sshdcp -p /tmp/openssh-7.9p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pamchmod +x /etc/init.d/sshdchkconfig -add sshdsystemctl enable sshd.serviceecho X11Forwarding yes /etc/ssh/sshd_configsed -i s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g /etc/ssh/sshd_configsed -i s/#UsePAM no/UsePAM yes/g /etc/ssh/sshd_configservice sshd restartsed -ie /u