redhat linux6.5如何升級(jí)openssh到7.5p1，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

創(chuàng)新互聯(lián)專注于臺(tái)江企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,商城網(wǎng)站定制開(kāi)發(fā)。臺(tái)江網(wǎng)站建設(shè)公司,為臺(tái)江等地區(qū)提供建站服務(wù)。全流程按需定制設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

linux系統(tǒng)的安全加固，一般都會(huì)將openssh服務(wù)升級(jí)到最新版本，加強(qiáng)遠(yuǎn)程連接的安全性。

官網(wǎng)發(fā)布了openssh 7.4以下openssh版本存在嚴(yán)重漏洞例如：
1.OpenSSH 遠(yuǎn)程權(quán)限提升漏洞(CVE-2016-10010)
2.OpenSSH J-PAKE授權(quán)問(wèn)題漏洞(CVE-2010-4478)
3.Openssh MaxAuthTries限制繞過(guò)漏洞(CVE-2015-5600)
OpenSSL>=1.0.1可以不用升級(jí)OpenSSL，可直接升級(jí)openssh。

升級(jí)需知：
查閱官方網(wǎng)站openssh，了解其最新的版本信息及其對(duì)系統(tǒng)內(nèi)核和其它依賴組件的要求。
然后備份系統(tǒng)中現(xiàn)有的openssh信息，以備升級(jí)失敗后進(jìn)行回退。再根據(jù)說(shuō)明優(yōu)先完成其依賴組件的升級(jí)。
最后升級(jí)openssh，并進(jìn)行驗(yàn)證。
openssh最新的版本是2019年4月17日釋出的OpenSSH 8.0。

 一、首先打開(kāi)兩個(gè)或以上的shell連接，因?yàn)樵谏?jí)過(guò)程中如果升級(jí)失敗會(huì)導(dǎo)致無(wú)法新建shell連接；或開(kāi)一個(gè)telnet服務(wù)。
在安裝之前先記下sshd.pid路徑，因?yàn)樵趩?dòng)文件sshd中要更改此路徑。

下載openssl-1.0.2l.tar.gz、openssh-7.5p1.tar.gz包并將安裝包傳入服務(wù)器中；

卸載現(xiàn)有版本openssh：rpm -e 'rpm -qa |grep openssh'

刪除/etc/ssh/下所有文件，在卸載完openssh后此路徑下文件不會(huì)刪除，需手動(dòng)刪除；

二、具體步驟：
1、 安裝依賴包yum -y install gcc libcap libcap-devel glibc-devel
2、 升級(jí)openssl
tar zxvf /tmp/openssl-1.0.2l.tar.gz -C /tmp
cd /tmp/openssl-1.0.2l
./config --prefix=/usr –shared
備注：（一定記得加上--shared選項(xiàng), 否則openssh編譯的時(shí)候會(huì)找不到新安裝的openssl的library, 會(huì)報(bào)錯(cuò): openssl的 header和library版本不匹配。）
make
make install
3、升級(jí)openssh
tar zxf /tmp/openssh-7.5p1.tar.gz -C /tmp

cd /tmp/openssh-7.5p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
make
make install
echo "PermitRootLogin no" >>/etc/ssh/sshd_config
service sshd restart
4、驗(yàn)證
[root@localhost ~]# ssh -V
OpenSSH_7.5p1, OpenSSL 1.0.2l 29 May 2019
備注：
另外，安裝目錄為/usr/，因?yàn)樵趩?dòng)文件中有關(guān)于SSHD的路徑，此安裝目錄默認(rèn)為redhat啟動(dòng)文件的路徑
可在配置文件/etc/ssh/sshd_config中修改

三、加固
修改hosts.all和hosts.deny
以ssh允許192.168.220.1和telnet允許192.168.220網(wǎng)段為例，具體在/etc/hosts.allow加入內(nèi)容如下：

編輯/etc/hosts.deny文件

保存文件退出編緝后，重啟ssh服務(wù)和telnet服務(wù)（可選）
備注：
1.一個(gè)IP訪問(wèn)請(qǐng)求連入，linux的檢查策略是先看/etc/hosts.allow中是否允許，如果允許直接放行；如果沒(méi)有，則再看/etc/hosts.deny中是否禁止，如果禁止那么就禁止連入。

2.對(duì)/etc/hosts.allow和/etc/hosts.deny的配置不用重啟就立即生效，但不管重啟不重啟當(dāng)前已有會(huì)話都不會(huì)受影響；也就是說(shuō)對(duì)之前已經(jīng)連入的，即便IP已配置為禁止登錄會(huì)話仍不會(huì)強(qiáng)制斷開(kāi)。不過(guò)不知是否所有l(wèi)inux都一樣，由此第四步標(biāo)為可選。

3.網(wǎng)上發(fā)現(xiàn)有些教程寫成不是sshd而是in.sshd不是in.telnetd而是telnetd的，個(gè)人覺(jué)得應(yīng)該是獨(dú)立啟的不用加in.托管于xinetd的需要加in.

四、其他
1、如果升級(jí)中發(fā)生意外中斷的，可以開(kāi)telnet備用
啟用
sed -i "s/yes/no/g" /etc/xinetd.d/telnet

service xinetd restart

mv /etc/securetty /etc/securettyBAK
停用
sed -i "s/no/yes/g" /etc/xinetd.d/telnet

service xinetd stop

mv /etc/securettyBAK /etc/securetty
2、升級(jí)后對(duì)ssh配置的加固
echo "PermitRootLogin no" >>/etc/ssh/sshd_config
找到#Port 22一段，這里是標(biāo)識(shí)默認(rèn)使用22端口，可修改為其他端口

echo "Ciphers aes128-cbc,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr,3des-cbc,arcfour128,arcfour256,arcfour,blowfish-cbc,cast128-cbc" >>/etc/ssh/sshd_config

service sshd restart
3、升級(jí)成功后輸入密碼無(wú)法登錄系統(tǒng)的
原因分析：
1、未對(duì)配置文件進(jìn)行修改，openssh7.5默認(rèn)配置不允許使用root登錄系統(tǒng)
2、pam配置文件錯(cuò)誤或丟失
3、配置文件中未啟用pam選項(xiàng)：UsePAM

看完上述內(nèi)容，你們掌握redhat linux6.5如何升級(jí)openssh到7.5p1的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

當(dāng)前標(biāo)題：redhatlinux6.5如何升級(jí)openssh到7.5p1
分享路徑：http://chinadenli.net/article42/ihjohc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、網(wǎng)站排名、商城網(wǎng)站、網(wǎng)站導(dǎo)航、外貿(mào)建站、網(wǎng)站營(yíng)銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)