OpenSSH用户枚举漏洞修复——ubuntu升级ssh版本
一、介绍
时不时会爆出来因版本问题导致的,使用不存在的用户名和存在的用户名返回不同信息的信息进行用户名枚举的特性,故要对ssh版本进行升级,改到不受影响的ssh版本。这里用升级到9.9p1的版本来演示。
二、步骤(均在root下操作)
0.环境查看
1.下载新包地址
OpenSSH: Release NotesOpenSSH release notes
https://www.openssh.com/releasenotes.html
2.备份
mv /usr/sbin/sshd /usr/sbin/sshd.old
mv /usr/bin/ssh /usr/bin/ssh.old3.安装依赖
apt-get update
apt-get install openssl gcc zlib1g.dev libssl-dev make -y4.将包上传到服务器,解压安装
tar -zvxf openssh-9.9p1.tar.gz
cd openssh-9.9p1
./configure --prefix=/usr/local/openssh
make
make install5.替换密钥文件(备份密钥,替换为旧版ssh密钥)
cp -r /usr/local/openssh/etc /usr/local/openssh/etc.bak
cp /etc/ssh/ssh_host_* /usr/local/openssh/etc6.创建新版ssh软连接
ln -s /usr/local/openssh/sbin/sshd /usr/sbin/
ln -s /usr/local/openssh/bin/ssh /usr/bin/7.重启,查看版本
systemctl restart sshd
ssh -V
为什么没有命令运行成功截图?没报错就是成功不需要截图(确信)