这是我参与8月更文挑战的第12天,活动详情查看:8月更文挑战
1, OpenSSH_SSL的升级
(1) 新配置的服务器需要升级OpenSSH——SSL
1,OpenSSH升级到 openssh-7.5p1.tar.gz
2,opneSSL升级到 openssl-1.0.2j.tar.gz
(2) 如果没有可以到这里下载
download.csdn.net/download/zh…
目标:漏洞扫描,需要对服务器进行一次全面安全评估,需要升级所有服务器
的服务,包括对SSH的升级,总结升级过程
(3) 升级步骤:
- 因为要卸载openSSH,所以卸载之前先确认是否安装Telnet,并且已经启动,可以远程登陆,如果没有可以安装
rpm -qa |grep xinetd
rpm -qa |grep telnet-server
如果电脑连网,yum都可以搞定。一言难尽,接下来的安装基本上都是rpm包和源码包安装
rpm -ivh xinetd-2.3.14-33.el6.x86_64.rpm
rpm -ivh telnet-0.17-46.el6.x86_64.rpm
rpm -ivh telnet-server-0.17-47.el6.x86_64.rpm
安装完之后
默认disable=yes //telnet 禁用服务 改成no,是启动telnet服务
配置文件默认安装在
vi /etc/xinetd.d/telnet
修改完成之后启动
/etc/init.d/xinetd restart
查看23端口号是否启动
netstat -tnlp|grep 23
创建telnet登陆用户
useradd test
passwd test
telnet xxx.xx.xx.xxx 服务器登陆测试
一直都连接失败:经查找防火墙导致,为了方便,暂时停了iptables
service iptables status
service iptables stop
telnet准备工作做好之后,可是卸载openSSH
(2)停止sshd服务
/sbin/service sshd stop
***养成良好习惯,修改配置文件要先备份
cp /etc/init.d/sshd /root/
开始卸载
rpm -e openssh --nodeps / --nodeps 是忽略依赖关系
rpm -e openssh-server --nodeps
rpm -e openssh-clients --nodeps
rpm -e openssh-askpass-gnome
rpm -e openssh-askpass //当然有些东西可能你的服务器没有安装
卸载完之后,安装openSSH需要很多依赖包比如:
rpm -ivh cpp-4.4.6-3.el6.x86_64.rpm --nodeps --force
rpm -ivh gcc-4.4.6-3.el6.x86_64.rpm --nodeps --force
rpm -ivh glibc-devel-2.12-1.47.el6.x86_64.rpm --nodeps
rpm -ivh mpfr-2.4.1-6.el6.x86_64.rpm --nodeps --force
rpm -ivh pam-1.1.1-10.el6.x86_64.rpm --nodeps --force
rpm -ivh ppl-0.10.2-11.el6.x86_64.rpm --nodeps --force
rpm -ivh zlib-1.2.3-27.el6.x86_64.rpm --nodeps --force
如果你获取不到可以在这里下载:
download.csdn.net/download/zh…
或者
链接:https://pan.baidu.com/s/1kVQnQM7 密码:en0b
准备工作完成之后开始安装openSSL
1, cd /usr/local/src/
2, tar -zxvf openssl-1.0.2j.tar.gz
3, cd openssl-1.0.2j
4, ./config shared zlib
如果提示报错:缺少perl包,因为我当时是报错的,这里缺少截图,抱歉
cd perl-5.26.1
./Configure -des -Dprefix=/usr/local/perl -Dusethreads -Uversiononly
make
make test
make install
mv /usr/bin/perl /usr/bin/perl.bak
ln -s /usr/local/perl/bin/perl /usr/bin/perl
perl -v
如图所示,安装成功
继续安装opneSSL
cd openssl-1.0.2j
./config shared zlib
5, make
6, make test
7, make install
8,mv /usr/bin/openssl /usr/bin/openssl.OFF
9,mv /usr/include/openssl /usr/include/openssl.OFF
10,ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
11,ln -s /usr/local/ssl/include/openssl /usr/include/openssl
配置库文件搜索路径
12, echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
13, /sbin/ldconfig -v
14, 查看openssl的版本号
openssl version -a
(3)安装openSSH
一般安装openSSH之前,可能会报缺少zlib的错误
tar -zxvf zlib-1.2.3.tar.gz
这里我就不安装了,因为我的机器上有
1,cd openssh-7.5p1
2,./configure --prefix=/usr/local/ssh --sysconfdir=/etc/ssh --with-pam --with-zlib --
with-ssl-dir=/usr/local/ssl --with-md5-passwords --mandir=/usr/share/man?
3,make
4,make install
5, cd /usr/local/src
6, cp /usr/local/src/openssh-7.5p1/contrib/redhat/sshd.pam /etc/pam.d/sshd
7, cp /usr/local/src/openssh-7.5p1/contrib/redhat/sshd.init /etc/init.d/sshd
8, cp /usr/local/src/openssh-7.5p1/sshd /usr/sbin/
9, 查看openssh版本号,验正安装结果
sshd -v
10,启动并验正服务的开启状况
/usr/sbin/sshd -d
11,如果没有问题 启动服务
/usr/sbin/sshd 或者 service sshd start
12:查看服务端口中是否有22
#netstat -tnlp | grep :22
13:增加开机启动服务
chkconfig --list sshd
chkconfig --add sshd
chkconfig --level 345 sshd on
(4)关闭Telnet远程管理
(5) OpenSSH更新完成
