「这是我参与2022首次更文挑战的第23天,活动详情查看:2022首次更文挑战」。
作者:Mintimate
博客:www.mintimate.cn
Mintimate’s Blog,只为与你分享
CVE-2021-41617漏洞
有小伙伴问,如何解决CVE-2021-41617漏洞漏洞?增加我Linux服务器的安全性:
解决方法:升级到OpenSSH最新安全版本。
但是,升级OpenSSH有一点小坑,一不留神,甚至会找出无法SSH远程登录的尴尬局面。本次教程就教大家避免踩坑,安全地升级我们的Linux服务器OpenSSH。
OpenSSH
OpenSSH(OpenBSD Secure Shell)是使用SSH透过计算机网络加密通信的实现。它是取代由SSH Communications Security所提供的商用版本的开放源代码方案。目前OpenSSH是OpenBSD的子项目。
OpenSSH常常被误认以为与OpenSSL有关系,但实际上这两个项目有不同的目的,不同的发展团队,名称相近只是因为两者有同样的软件发展目标──提供开放源代码的加密通信软件。
而目前最经常的应用:SSH远程连接。相比telnet远程连接,SSH更安全(当然,注意提升SSH的版本,比如本文内容)。
OpenSSL
前文说到,OpenSSL和OpenSSH是两个不同的项目。OpenSSL可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris,Linux,Mac OS X与各种版本的开放源代码BSD操作系统)。用于提供密码加密、安全通信等。
那么OpenSSL和OpenSSH有什么关系呢?
-> OpenSSH需要OpenSSL作为前置编译依赖。
快照服务器
在升级OpenSSH前,强力推荐快照服务器一次!强力推荐!强力推荐!强力推荐!(一定要做!
)
防止因为升级过程中,因为不可抗拒的因素,断连服务器,导致后续无法SSH远程登录服务器。
腾讯云轻量应用服务器快照方法很简单,我们进入控制台,选择快照:
如果你想本地Linux测试虚拟机内尝试,可以,比如VMware内,可以这样:
创建好以后,我们就可以放心升级OpenSSH了。
所需工具
我们编译OpenSSH,所需工具:
- OpenSSL:www.openssl.org/source/
- Zlib:www.zlib.net/
同时,你需要有gcc编译器:
# CentOS
sudo yum install gcc
# Ubuntu/Debian
sudo apt-get install build-essential
其他编译,大家可以自己添加。本次分别使用Debian镜像和CentOS镜像分别用于演示。
OpenSSL&Zlib
首先,我们需要编译OpenSSL和Zlib两个依赖库。
我们分开讲:
OpenSSL
首先是下载OpenSSL源码,这里我们选择最新的版本:
我们使用wget进行下载,并用tar进行解压:
wget https://www.openssl.org/source/openssl-1.1.1m.tar.gz
tar -xf openssl-1.1.1m.tar.gz
cd openssl-1.1.1m
之后,我们进行预编译和编译安装:
# 配置
./config --prefix=/usr/local/openssl shared
# 编译
make
# 安装
make install
Zlib
其次是编译Zlib的库,这里我们选择最新的版本:
同样使用wget进行下载……
# 下载源码
wget http://www.zlib.net/zlib-1.2.11.tar.gz
# 解压
tar -xf zlib-1.2.11.tar.gz
# 进入源码目录
cd zlib-1.2.11
之后,我们预编译和安装:
# 预编译
./configure --prefix=/usr/local/zlib
# 编译
make
# 安装
make install
按道理不用添加其他东西,但是Debian再安装一下libz-dev:
# Debian/Ubuntu
sudo apt -y install libz-dev
之后,我们就可以开始编译OpenSSH了。
OpenSSH
编译OpenSSH还是有点讲究的。这里分Debian和CentOS:
Debian/Ubuntu
如果你的设备是Debian或者Ubuntu,可以按当前目录操作:
卸载旧版本
我们使用apt-get卸载自带的OpenSSH:
sudo apt purge --remove "openssh*"
这样,我们编译的OpenSSH就不会和自带的旧版本OpenSSH冲突
编译OpenSSH
现在,我们还是需要和刚刚编译OpenSSL和Zlib一样,OpenSSH有很多的下载站,在官网可以看到:www.openssh.com/portable.ht…
这里我们选择:mirror.leaseweb.com/pub/OpenBSD…这个下载站:
和之前一样,wget下载:
# 下载源码
wget https://mirror.leaseweb.com/pub/OpenBSD/OpenSSH/portable/openssh-8.8p1.tar.gz
# 解压源码
tar -xf openssh-8.8p1.tar.gz
# 进入源码目录
cd openssh-8.8p1
现在,我们可以开始编译安装:
# 编译配置
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib-dir=/usr/local/zlib --without-openssl-header-check
# 编译
make
# 安装
make install
如果中途出现:configure: error: OpenSSL version header not found.
这样的提示:
这个一般是OpenSSL的软连接没有成功,我们连接一下:
ln -s /usr/local/openssl/lib64/libssl.so.3 /usr/lib/
ln -s /usr/local/openssl/lib64/libcrypto.so.3 /usr/lib/
确保OpenSSL可以使用:
/usr/local/openssl/bin/openssl version
之后,我们使用手动启动一下OpenSSH
/usr/local/openssh/sbin/sshd
如果出现Privilege separation user sshd does not exist
:
那么,我们需要添加内容到/etc/passwd
:
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
之后,可以启动SSH:
最后,我们注册为服务:
vim /usr/lib/systemd/system/sshd.service
[Unit]
Description=OpenSSH serve
Documentation=man:sshd(8) man:sshd_config(5)
#After=network.target sshd-keygen.service
#Wants=sshd-keygen.service
After=network.target
[Service]
#Type=notify
#EnvironmentFile=/etc/sysconfig/sshd
#ExecStart=/usr/local/openssh/sbin/sshd -D $OPTIONS
ExecStart=/usr/local/openssh/sbin/sshd
#ExecReload=/bin/kill -HUP $MAINPID
#KillMode=process
#Restart=on-failure
#RestartSec=42s
[Install]
WantedBy=multi-user.target
最后,重载Systemctl,并设置为自启动,重启服务器即可:
systemctl daemon-reload
systemctl enable sshd
第一次重启,时间比较长,需要耐心等待一下。之后就可以使用SSH进行连接了:
CentOS
如果你的设备是CentOS,可以按当前目录操作:
卸载旧版本
我们使用rpm卸载旧版本的OpenSSH:
rpm -e --nodeps `rpm -qa | grep openssh`
这个时候,千万不要断开SSH远程连接,不然就只能去恢复快照了。
编译OpenSSH
现在,我们还是需要和刚刚编译OpenSSL和Zlib一样,OpenSSH有很多的下载站,在官网可以看到:www.openssh.com/portable.ht…
这里我们选择:mirror.leaseweb.com/pub/OpenBSD…
和之前一样,wget下载:
# 下载源码
wget https://mirror.leaseweb.com/pub/OpenBSD/OpenSSH/portable/openssh-8.8p1.tar.gz
# 解压源码
tar -xf openssh-8.8p1.tar.gz
# 进入源码目录
cd openssh-8.8p1
现在,我们可以开始编译安装:
# 编译配置
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib-dir=/usr/local/zlib --without-openssl-header-check
# 编译
make
# 安装
make install
如果出现这样的问题:configure: error: Your OpenSSL headers do not match your
一般是系统OpenSSL和我们自己编译的OpenSSL版本不一样所致,我这就直接加参数忽略了:
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib-dir=/usr/local/zlib --without-openssl-header-check
配置SSH
现在,我们需要重新配置SSH。
复制命令文件
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
之后,复制启动文件:
cp contrib/redhat/sshd.init /etc/init.d/sshd
因为我们刚刚彻底删除了系统自带的SSH,所以我们需要重新配置:
vim /etc/ssh/sshd_config
开放22端口、允许密码和Root用户远程登录:
保存之后,我们重新载入一下Systemctl即可:
systemctl daemon-reload
systemctl start sshd.service
systemctl enable sshd.service
之后,等一下,即可重新连接服务器成功,并且OpenSSH更新完毕:
END
现在,OpenSSH就已经更新完成了。后续的OpenSSH更新,就不需要用软件包管理器卸载OpenSSH,我们只需要到我们自己的源码包内,执行make uninstall,之后用相同的编译参数,重新编译安装即可(cp复制的东西不要忘记嗷)。
另外,虽然分了Debian和CentOS两个不同操作。其实两个操作是互通的。只是CentOS方法为了兼容CentOS6,使用这样保守的配置方法。
CentOS也就有自己写systemctl的Unit,Debian也可以直接cp配置文件。