OpenSSH 7をアップグレードする.2 p 1からOpenSSH 7.6 P 1,opensslのアップグレード
3405 ワード
の原因となる OpenSSHリモート権限向上脆弱性(CVE-2016-10010) OpenSSH do_setup_Env関数権限向上脆弱性(CVE-2015-8325) OpenSSH auth_password関数拒否サービス脆弱性(CVE-2016-6515) OpenSSHは、複数のKEXINITによるサービス拒否ホール(CVE-2016-8858) を許可する. OpenSSHリモートコード実行脆弱性(CVE-2016-10009) OpenSSHローカル情報漏洩脆弱性(CVE-2016-2001) OpenSSHセキュリティ制限脆弱性(CVE-2016-10012) を迂回 OpenSSL SSLv 2プロトコル"Drown"脆弱性(CVE-2016-0800) OpenSSL「SSL-Death-Alert」サービス・ホール拒否(CVE-2016-8610) 1、Telnetを開通する
Yumはtelnet-serverとtelnetサービスをインストールすればいいです
telnetサービスの有効化
disableフィールドのyesをnoに変更
最後にtelnetサービスが正常に起動しているかどうかをテストする必要があります.
2、OpenSSLのアップグレード
注意:openssh 7.6 p 1依存opensslのバージョンは>1.0.1 eであり、<1.1.0であった.現在インストールされているのは1.0.2 hです
Openssl-1.0.2 hをアップロードします.tar.gzから/usr/local/src/
Opensllは1.0.2 hにアップグレードされました
3、OpenSSHのアップグレード
現在までに発見されたopensshの脆弱性はopenssh 7である.4以前のバージョン.現在アップグレードしているのはopenssh 7です.6p1
Openssh-7.6 p 1をアップロードします.tar.gzから/usr/local/src/
4、Nginxのアップグレード
Opensslをアップグレードすると、元のバージョンのopensslに依存するNginxは使用できません.Nginxを再構成する必要があります.
5、Telnetと善後を閉鎖する
Yumはtelnet-serverとtelnetサービスをインストールすればいいです
yum install -y telnet-server* telnet telnetサービスの有効化
vi /etc/xinetd.d/telnet disableフィールドのyesをnoに変更
> mv /etc/securetty /etc/securetty.old#この役割はrootユーザーがtelnetを通じてログインすることを許可することであり、ネット上でも他の方法で実現することができ、変更しないことができ、他のユーザーを使用してログインしてからsu-root> service xinetd restart#xinetdを再起動してtelnetサービスを再起動> chkconfig xinetd on#xinetdサービスを起動してから起動させ、アップグレードしたことと気に入ったことを避けてシステムにログインできない最後にtelnetサービスが正常に起動しているかどうかをテストする必要があります.
2、OpenSSLのアップグレード
注意:openssh 7.6 p 1依存opensslのバージョンは>1.0.1 eであり、<1.1.0であった.現在インストールされているのは1.0.2 hです
Openssl-1.0.2 hをアップロードします.tar.gzから/usr/local/src/
> tar zxvf openssl-1.0.2h.tar.gz#解凍> cd openssl-1.0.2h > ./config shared zlib#までは必ずsharedパラメータを加えなければなりません.Opensshをインストールするときに、> make > make install元のopenssl > mv /usr/bin/openssl /usr/bin/openssl.bak > mv /usr/include/openssl /usr/include/openssl.bak元のopenssl > ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl元のインストール場所をバックアップすることはできません.ソースインストールのデフォルトのインストール場所は/usr/local/sslであるため、作成ソフトリンクをシステム位置> ln -s /usr/local/ssl/include/openssl /usr/include/openssl > echo "/usr/local/ssl/lib/" >> /etc/ld.so.conf元のopensslのlibライブラリをシステム> ldconfig元のlibライブラリに追加し、新しく追加したlibをシステムに見つける必要があります.Opensslバージョン> openssl version -aの表示Opensllは1.0.2 hにアップグレードされました
3、OpenSSHのアップグレード
現在までに発見されたopensshの脆弱性はopenssh 7である.4以前のバージョン.現在アップグレードしているのはopenssh 7です.6p1
Openssh-7.6 p 1をアップロードします.tar.gzから/usr/local/src/
> tar zxvf openssh-7.6p1.tar.gz#解凍> cd openssh-7.6p1 > ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --without-openssl-header-check --with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/lib/sshd#opensslのインストールパスを指定する必要があります> make > make install#SSHのX転送を許可する> echo 'X11Forwarding yes' >> /etc/ssh/ssh_config#設定SSHはrootユーザーが> echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config#SSHをコピーする起動スクリプト> cp -p contrib/redhat/sshd.init /etc/init.d/sshd#実行権限を追加> chmod +x /etc/init.d/sshd#システムサービス> chkconfig --add sshd#sshdを開く起動運転> chkconfig sshd on#SSHDを再起動すると、再起動時にsshの接続が切れる可能性があるので、再起動する前にtelnetが接続できることを確認しなければなりません.確保できない場合は、問題が発生したら、機械室に行くしかありません.これでOpensshのアップグレードは> service sshd restart#を完了し、現在のSSHのバージョンを表示できます.4、Nginxのアップグレード
Opensslをアップグレードすると、元のバージョンのopensslに依存するNginxは使用できません.Nginxを再構成する必要があります.
5、Telnetと善後を閉鎖する
> ssh -V#xinetdの電源を切る> chkconfig xinetd off#xinetdサービスを閉じる