Chinaunix首页 | 论坛 | 博客
  • 博客访问: 621856
  • 博文数量: 74
  • 博客积分: 1845
  • 博客等级: 上尉
  • 技术积分: 731
  • 用 户 组: 普通用户
  • 注册时间: 2005-03-14 20:49
文章分类

全部博文(74)

文章存档

2017年(3)

2016年(7)

2015年(4)

2014年(6)

2013年(7)

2012年(10)

2011年(10)

2010年(4)

2009年(5)

2008年(4)

2007年(7)

2006年(6)

2005年(1)

分类: 系统运维

2014-12-15 11:12:18

转自 http://twobit.blog.chinaunix.net/uid-29179844-id-4273021.html
最近给公司内网的服务器做了一次全面的扫描,出现几个高危的漏洞,网上查了一下,普遍存在啊。所谓不扫不知道,一扫吓一跳啊。
漏洞的名称为Portable OpenSSH GSSAPI远程代码执行漏洞(CVE-2006-5051)及OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478),厂家给出的解决方案很笼统。经过各方查找资料,大致的解决方案是升级到高版本的openssh,目前最新版本是openssh 6.6p1. 

下载地址:

可以根据自己的需要选择下载升级,其实没别要升级到最新版本,一般都是选择目前较新且稳定的版本,今天的文章里我们以最新的openssh 6.6p1为例。由于目前服务器都处于生产环境中,基于一切操作安全为重的思想,稳当期间准备好telnet,以防止ssh更新出现问题,不能远程连接上服务器,自己跑现场可是比较悲催的.....
下面看更新步骤
一.安装开启telnet服务
yum install telnet-* -y

#vi /etc/xinetd.d/telnet 把yes改为no

# /etc/init.d/xinetd restart
注1:如出现 "Unencrypted connection refused. Goodbye."错误提示可能是启动了“ekrb5-telnet”服务,解决方法:将/etc/xinetd.d/ekrb5-telnet里面的disable改成=yes,再重启xinetd服务service xinetd restart就OK了!
注2:linux的telnet默认是不允许root用户直接登陆的,可以选择用户账号登陆,跳转到root权限。也可以修改配置文件,这里笔者不推荐,还是安全原因。
二.安装更新openssh
下载地址:

wget -S openssh-6.6p1.tar.gz现在高版本OPENSSH安装程序,现在最高版本是6.6p1
tar xvf openssh-6.6p1.tar.gz 
cd  openssh-6.6p1

./configure --prefix=/usr --sysconfdir=/etc/ssh 
注:编译源码,注意编译路径, OPENSSH安装在原来的路径下,这样后面安装完成后就不用再次copy SSHD服务到/etc/init.d/。
make 
mv /etc/ssh/* /etc/sshbak/ 
安装在原路径下,需要把原来的配置文件移走,不然make install 可能会报错
make install 
/etc/init.d/sshd restart 
这里注意安全,如果你前面编译报错了,还强制安装,SSHD服务可能就起不来。

chkconfig --add sshd 
chkconfig sshd on 

使用ssh -V 命令查看一下 
 ssh -V 
OpenSSH_6.6p1, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
已经成功升级至6.6版本!

ssh更新操作关系到操作者和服务器之间的连接,万事小心为上。不然一个小失误可能让你大费周章哦。
阅读(5455) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~