修复OpenSSH远程代码执行漏洞:版本升级到9.9p1
目录
- 前言
- 1. 备份配置文件
- 2. 下载 OpenSSH 最新版本
- 3. 编译安装 OpenSSH
- 4. 替换旧版 OpenSSH 并创建符号链接
- 5. 重启 SSH 服务
- 6. 验证安装结果
- 结语
- 参考文章
前言
OpenSSH 是一种广泛使用的远程登录协议,它确保了服务器和客户端之间的安全通信。然而,随着时间的推移,安全漏洞不断被发现并修复。近期,一些版本的 OpenSSH 出现了远程代码执行漏洞,攻击者可能利用此漏洞进行未经授权的操作。为了确保服务器的安全性,及时升级 OpenSSH 到最新版本至关重要。本篇文章将详细介绍如何备份配置文件、下载并编译安装最新版本的 OpenSSH(9.9p1),以及解决在编译过程中可能遇到的问题。
1. 备份配置文件
在进行任何升级操作之前,备份当前系统中的 OpenSSH 配置和可执行文件是非常重要的,以防止在升级过程中发生问题时可以快速恢复。
首先,备份 SSH 配置文件和二进制可执行文件:
cp -rf /etc/ssh /etc/ssh.bak
cp -rf /usr/bin/ssh /usr/bin/ssh.bak
cp -rf /usr/sbin/sshd /usr/sbin/sshd.bak
以上命令将 /etc/ssh 目录以及 /usr/bin/ssh 和 /usr/sbin/sshd 文件备份至对应的 .bak 目录和文件。这可以确保在出现问题时,有一个可恢复的备份。
2. 下载 OpenSSH 最新版本
在确认备份完成后,我们可以下载 OpenSSH 最新的源代码以进行编译和安装。
首先使用 wget 命令下载 OpenSSH 的最新版本,这里以 9.9p1 版本为例:
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p1.tar.gz
下载完成后,使用以下命令解压:
tar zxvf openssh-9.9p1.tar.gz
cd openssh-9.9p1
此时,我们已经进入到 OpenSSH 源代码目录,接下来可以进行编译安装。
3. 编译安装 OpenSSH
在源代码目录中,首先需要配置编译环境。通过执行以下命令来进行配置:
./configure
然而,首次执行此命令时,可能会遇到以下错误提示:
configure: error: *** zlib.h missing - please install first or check config.log ***
这表明系统中缺少 zlib 库的开发文件。可以通过以下命令安装:
yum install zlib-devel
安装完成后,再次运行 ./configure,可能会遇到另一个错误提示:
checking OpenSSL library version... configure: error: OpenSSL >= 1.1.1 required (have "100020bf (OpenSSL 1.0.2k-fips 26 Jan 2017)")
此时,我们需要升级或安装符合要求的 OpenSSL 版本,具体可以参考相应的 OpenSSL 升级文章或指南。通常可以通过以下步骤来安装或升级 OpenSSL:
cd /usr/local
mkdir openssl
cd openssl
wget https://github.com/openssl/openssl/releases/download/OpenSSL_1_1_1v/openssl-1.1.1v.tar.gz
tar -xzvf openssl-1.1.1v.tar.gz
cd openssl-1.1.1v
./config --prefix=/usr
make && make install
openssl version
升级完成后,返回 OpenSSH 目录并重新配置:
cd openssh-9.9p1
./configure
配置成功后,接下来可以执行以下命令进行编译和安装:
make && make install
这一步将会编译 OpenSSH 并将其安装到系统中。
4. 替换旧版 OpenSSH 并创建符号链接
安装完成后,为了使系统使用新的 OpenSSH 版本,我们需要替换系统中旧版的 ssh 和 sshd,并创建符号链接指向新版本的可执行文件。
首先,备份当前版本的 ssh 和 sshd:
mv /usr/bin/ssh /usr/bin/ssh.bak
mv /usr/sbin/sshd /usr/sbin/sshd.bak
然后创建符号链接指向新版本的 OpenSSH:
ln -s /usr/local/bin/ssh /usr/bin/ssh
ln -s /usr/local/sbin/sshd /usr/sbin/sshd
这样,系统将使用我们刚刚编译安装的 OpenSSH 版本。
5. 重启 SSH 服务
在完成所有安装和配置后,重启 SSH 服务以应用新版本:
systemctl restart sshd
此时,你可能会遇到以下错误提示:
Bad configuration option: GSSAPIKexAlgorithms
这是由于新版本的 OpenSSH 不再支持旧版本中的某些配置选项。可以通过修改 /etc/ssh/sshd_config 文件,删除或注释掉不再支持的配置项来解决该问题。
解决配置问题后,再次重启 SSH 服务:
systemctl restart sshd
6. 验证安装结果
最后,使用以下命令验证 OpenSSH 是否已成功升级到新版本:
ssh -V
如果显示的版本为 OpenSSH_9.9p1,则说明升级成功。
结语
通过本文的步骤,我们成功修复了 OpenSSH 的远程代码执行漏洞,并升级到了最新的 9.9p1 版本。尽管升级过程可能遇到一些依赖库的问题,但只要按照提示安装或升级相关依赖,最终都可以顺利完成编译和安装。定期检查系统中的软件版本,并及时进行安全升级,是保障服务器安全的重要环节。希望本文能为读者提供有效的指导,确保服务器在面对各种安全威胁时能够及时更新和应对。
参考文章
1 https://cooldream2009.blog.csdn.net/article/details/142667560
升级 OpenSSL 的详细步骤(解决 SSH 漏洞的前提)