openssh 8.0你更新了么?附录全套攻略,欢迎点赞!


OpenSSH 8.0 发布了,此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111,该漏洞此前我们之前报导过:知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。将文件从远程系统复制到本地目录时,SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,这使得***者可以使用恶意服务器控制的内容创建或破坏本地文件。

OpenSSH 8.0 的缓解措施添加了客户端检查,查看从服务器发送的文件名与命令行请求是否匹配。

SCP 协议已经过时,不灵活且不易修复,OpenSSH 官方建议使用更现代的协议进行文件传输,如 sftp 和 rsync。

此版本新特性包括:

ssh(1)、ssh-agent(1)、ssh-add(1):PKCS#11 token 中添加对 ECDSA 密钥的支持。

ssh(1)、sshd(8):基于 Streamlined NTRU Prime 4591^761 和 X25519 的组合,添加实验性量子计算抗性密钥交换方法。

ssh-keygen(1):将默认 RSA 密钥大小增加到 3072 位。

ssh(1):允许“PKCS11Provider = none”覆盖 ssh_config 中 PKCS11Provider 指令的后续实例。

ssh(1):提示是否录制新主机密钥时,输入密钥指纹作为“yes”。

ssh-keygen(1):在单个命令行调用上签名多个证书时,允许自动递增证书序列号。

scp(1)、sftp(1):接受 -J 选项作为 scp 和 sftp 命令行上 ProxyJump 的别名。

ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1):接受“-v”命令行标志以增加输出的详细程度;将详细标志传递给子进程,例如从 ssh-agent 启动的 ssh-pkcs11-helper。

ssh-add(1):添加“-T”选项以允许通过执行签名和验证来测试代理中的密钥是否可用。

sshd(8):在 PAM 环境中暴露 $SSH_CONNECTION。


安装方法(划重点!)
1、LINUX4.0升级OPENSSH方法
首先需要配置YUM源!!
Yum配置文件在/etc/yum.repos.d/
挂载安装光盘镜像到/mnt目录,并拷贝光盘文件到创建的/rhel-dvd目录。
mount /dev/cdrom /mnt
屏蔽系统的默认YUM源,并创建新的YUM源文件
cd /etc/yum.repos.d/
mkdir old
mv .repo old/
touch localyum.repo
然后编辑localyunm.repo,内容如下:
[LINUX]
name=LINUX
gpgcheck=0
enable=1
baseurl=file:///mnt
编辑完成后
[root@myhost yum.repos.d]# yum makecache
Loaded plugins: product-id, search-disabled-repos, security, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
LINUX | 4.1 kB 00:00 …
LINUX /group_gz | 216 kB 00:00 …
LINUX /filelists_db | 3.4 MB 00:00 …
LINUX /primary_db | 3.1 MB 00:00 …
LINUX /other_db | 1.3 MB 00:00 …
Metadata Cache Created
此方法中的第10步,视情况修改!!!!
1、ssh登录到要安装的服务器上,查看当前版本
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
2、在/目录下创建/tools目录,通过FTP工具上传安装文件到该目录下
mkdir /tools
使用yum安装Telnet服务
3、为防止重启SSH后无法登录,安装TELNET
yum install -y telnet-server
4、修改telnet文件disable=no(原有值为yes),允许用户远程登录
sed -i ’12 s/yes/no/’ /etc/xinetd.d/telnet
echo ‘pts/0’ >>/etc/securetty
echo ‘pts/1’ >>/etc/securetty
echo ‘pts/2’ >>/etc/securetty
echo ‘pts/3’ >>/etc/securetty
5、然后重启服务
service xinetd restart
Stopping xinetd: [FAILED]
Starting xinetd: [ OK ]
重启后,适用telnet登录LINUX系统。执行之后操作!!
6、用ROOT账户使用telnet登录系统执行修改OPENSSH操作
rpm -e openssh-server-5.3p1-122.el6.x86_64
安装必要的软件包
yum install -y gcc

yum -y install pam-devel

7、安装zlib
cd /tools
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure –prefix=/usr/local/zlib && make && make install
cd ..
8、安装openssl
tar -zxvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config –prefix=/usr/local/openssl && make depend && make && make install
cd ..
9、安装openssh
tar -zxvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
10、修改version.h文件,把里面””里面的内容改成“空格”。
/ $OpenBSD: version.h,v 1.80 2017/09/30 22:26:33 djm Exp $ /
#define SSH_VERSION " "
#define SSH_PORTABLE " "
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE
11、然后再在执行编译安装
./configure –prefix=/usr/local/openssh –sysconfdir=/etc/ssh –with-ssl-dir=/usr/local/openssl –with-zlib=/usr/local/zlib –with-md5-passwords –with-pam –without-hardening && make && make install
12、拷贝SSHD服务文件
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
13、修改SSHD服务文件,修改对应指令的安装目录
vi /etc/init.d/sshd
SSHD=/usr/sbin/sshd 为 SSHD=/usr/local/openssh/sbin/sshd
/usr/bin/ssh-keygen -A 为 /usr/local/openssh/bin/ssh-keygen -A
14、保存退出
把SSHD加入到系统服务
chkconfig –add sshd
15、查看系统启动服务是否增加改项
chkconfig –list |grep sshd
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
16、重新启动SSHD服务。
service sshd start
17、替换SSH及SSL命令
mv /usr/bin/ssh /usr/bin/ssh.old
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
18、检查相关软件版本
[root@myhost ~]# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2h 3 May 2016
[root@myhost ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,–noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/openssl/ssl"
升级到新版本后,默认不允许root用户远程登录,修改/etc/ssh/sshd_config配置文件。
PermitRootLogin yes
重新启动SSHD服务。
service sshd start
测试登录SSH,测试成功后,删除TELNET
rpm -e telnet-server-0.17-47.el6_3.1.x86_64
rpm -e xinetd-2.3.14-39.el6_4.x86_64

2、LINUX5.0升级OPENSSH方法
首先需要配置YUM源!!
Yum配置文件在/etc/yum.repos.d/
挂载安装光盘镜像到/mnt目录,并拷贝光盘文件到创建的/rhel-dvd目录。
mount /dev/cdrom /mnt
屏蔽系统的默认YUM源,并创建新的YUM源文件
cd /etc/yum.repos.d/
mkdir old
mv .repo old/
touch localyum.repo
然后编辑localyunm.repo,内容如下:
[LINUX]
name=LINUX
gpgcheck=0
enable=1
baseurl=file:///mnt
编辑完成后
[root@myhost yum.repos.d]# yum makecache
Loaded plugins: product-id, search-disabled-repos, security, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
LINUX | 4.1 kB 00:00 …
LINUX /group_gz | 216 kB 00:00 …
LINUX /filelists_db | 3.4 MB 00:00 …
LINUX /primary_db | 3.1 MB 00:00 …
LINUX /other_db | 1.3 MB 00:00 …
Metadata Cache Created
此方法中的第10步,视情况修改!!!!
1、ssh登录到要安装的服务器上,查看当前版本
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
2、在/目录下创建/tools目录,通过FTP工具上传安装文件到该目录下
mkdir /tools
使用yum安装Telnet服务
3、为防止重启SSH后无法登录,安装TELNET
yum install -y telnet-server
4、修改telnet文件disable=no(原有值为yes),允许用户远程登录
sed -i ’12 s/yes/no/’ /etc/xinetd.d/telnet
echo ‘pts/0’ >>/etc/securetty
echo ‘pts/1’ >>/etc/securetty
echo ‘pts/2’ >>/etc/securetty
echo ‘pts/3’ >>/etc/securetty
5、然后重启服务
service xinetd restart
Stopping xinetd: [FAILED]
Starting xinetd: [ OK ]
重启后,适用telnet登录LINUX系统。执行之后操作!!
6、用ROOT账户使用telnet登录系统执行修改OPENSSH操作
rpm -e openssh-server-5.3p1-122.el6.x86_64
安装必要的软件包
yum install -y gcc

yum -y install pam-devel
7、安装zlib
cd /tools
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure –prefix=/usr/local/zlib && make && make install
cd ..
8、安装openssl
tar -xvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config –prefix=/usr/local/openssl && make depend && make && make install
cd ..
9、安装openssh
tar -xvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
10、修改version.h文件,把里面””里面的内容改成“空格”。
/ $OpenBSD: version.h,v 1.80 2017/09/30 22:26:33 djm Exp $ /
#define SSH_VERSION " "
#define SSH_PORTABLE " "
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE
11、然后再在执行编译安装
./configure –prefix=/usr/local/openssh –sysconfdir=/etc/ssh –with-ssl-dir=/usr/local/openssl –with-zlib=/usr/local/zlib –with-md5-passwords –with-pam –without-hardening && make && make install
12、拷贝SSHD服务文件
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
13、修改SSHD服务文件,修改对应指令的安装目录
vi /etc/init.d/sshd
SSHD=/usr/sbin/sshd 为 SSHD=/usr/local/openssh/sbin/sshd
/usr/bin/ssh-keygen -A 为 /usr/local/openssh/bin/ssh-keygen -A
14、保存退出
把SSHD加入到系统服务
chkconfig –add sshd
15、查看系统启动服务是否增加改项
chkconfig –list |grep sshd
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
16、重新启动SSHD服务。
service sshd start
17、替换SSH及SSL命令
mv /usr/bin/ssh /usr/bin/ssh.old
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
18、检查相关软件版本
[root@myhost ~]# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2h 3 May 2016
[root@myhost ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,–noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/openssl/ssl"
2.19、升级到新版本后,默认不允许root用户远程登录,修改/etc/ssh/sshd_config配置文件。
PermitRootLogin yes
2.20、重新启动SSHD服务。
service sshd start
2.21、测试登录SSH,测试成功后,删除TELNET
rpm -e telnet-server-0.17-47.el6_3.1.x86_64
rpm -e xinetd-2.3.14-39.el6_4.x86_64
3、LINUX6.0升级OPENSSH方法
安装TELNET,防止OPENSSH服务失败
安装telnet-server及xinetd包
适用rpm –ivh安装这两个包
如果想直接以root用户登录对方主机,可以在修改对方主机上的配置文件/etc/pam.d/remote
注释/etc/pam.d/remote的第一行,
即:#auth required pam_securetty.so
启动telnet服务
systemctl start telnet.socket && systemctl start xinetd
之后常用telnet登录系统

3.1、备份原有配置文件,并修改
cp /etc/pam.d/sshd /root
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

3.2、检查是否包含openssh-askpass包
执行rpm -qa|grep openssh-askpass
如果返回存在openssh-askpass-<版本>.x86_64包,则需要卸载该安装包
执行 rpm -e <安装包名>

3.3、拷贝openssh安装包到服务器
创建安装包目录mkdir /openssl
使用XFTP或其它FTP工具,把以下安装包拷贝到/openssl目录
openssh-8.0p1-1.el6.x86_64.rpm
openssh-clients-8.0p1-1.el6.x86_64.rpm
openssh-debuginfo-8.0p1-1.el6.x86_64.rpm
openssh-server-8.0p1-1.el6.x86_64.rpm

3.4、执行升级命令
cd /openssh
rpm -Uvh *.rpm

3.5、恢复配置文件
Vi修改/etc/ssh/sshd_config文件,修改如下内容:

#PermitRootLogin prohibit-password 修改为PermitRootLogin yes
#UsePAM no 修改为 UsePAM yes

恢复sshd配置文件
cp /root/sshd /etc/pam.d/
提示输入y确认

3.6、重新生成加密秘钥
cd /etc/ssh/
mkdir old
mv sshhost* old
最后重新启动SSH服务
/etc/init.d/sshd restart
重启之后检查ssh -V 当前版本是否为8.0
4、LINUX7.0升级OPENSSH方法
安装TELNET,防止OPENSSH服务失败
安装telnet-server及xinetd包
适用rpm –ivh安装这两个包
如果想直接以root用户登录对方主机,可以在修改对方主机上的配置文件/etc/pam.d/remote
注释/etc/pam.d/remote的第一行,
即:#auth required pam_securetty.so
启动telnet服务
systemctl start telnet.socket && systemctl start xinetd
之后常用telnet登录系统

4.1、备份原有配置文件,并修改
cp /etc/pam.d/sshd /root
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

4.2、检查是否包含openssh-askpass包
执行rpm -qa|grep openssh-askpass
如果返回存在openssh-askpass-<版本>.x86_64包,则需要卸载该安装包
执行 rpm -e <安装包名>

4.3、拷贝openssh安装包到服务器
创建安装包目录mkdir /openssh
使用XFTP或其它FTP工具,把以下安装包拷贝到/openssh目录
openssh-8.0p1-1.el6.x86_64.rpm
openssh-clients-8.0p1-1.el6.x86_64.rpm
openssh-debuginfo-8.0p1-1.el6.x86_64.rpm
openssh-server-8.0p1-1.el6.x86_64.rpm

4.4、执行升级命令
cd /openssh
rpm -Uvh *.rpm

4.5、恢复配置文件
Vi修改/etc/ssh/sshd_config文件,修改如下内容:

#PermitRootLogin prohibit-password 修改为PermitRootLogin yes
#UsePAM no 修改为 UsePAM yes

恢复sshd配置文件
cp /root/sshd /etc/pam.d/
提示输入y确认

4.6、重新生成key秘钥
cd /etc/ssh
mkdir key_bak
mv sshhost* key_bak
最后重新启动SSH服务

4.7、重启SSHD
/etc/init.d/sshd restart
重启之后检查ssh -V 当前版本是否为8.0

5、UBUNTU系统升级

适用于一下版本UBUNTU
jcadmin@ubuntu:~/deb$ uname -a
Linux ubuntu 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
jcadmin@ubuntu:~/deb$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04 LTS
Release: 12.04
Codename: precise

5.1、安装必备包
上传安装包deb.tar source_ssh.tar ssh5.9.tar
sudo cp /etc/init.d/ssh /etc/init.d/ssh.old
tar -xvf deb.tar
cd deb
sudo dpkg -i *.deb
netstat -a | grep telnet

5.2、telnet 登录,卸载ssh
sudo dpkg -r openssh-server
sudo dpkg -r openssh-client
cd /etc/
sudo mv ssh/ ssh.old

5.3、安装软件包
cd ~
tar -xvf source_ssh.tar
cd source_ssh/
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8/
sudo ./configure
sudo make && sudo make install
cd ..
tar -xvf openssl-1.0.2s.tar.gz
cd openssl-1.0.2s/
sudo ./config -fPIC
sudo make && sudo make install
cd ..
tar -xvf openssh-8.0p1.tar.gz
cd openssh-8.0p1/
sudo ./configure –sysconfdir=/etc/ssh –with-md5-passwords –with-ssl-dir=/usr/local/ssl
sudo make && sudo make install

如果make install 报错提示ssh用户不存在,增加SSH用户信息
sudo vi /etc/passwd
增加sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin

5.4、恢复服务
sudo cp /usr/local/sbin/sshd /usr/bin/
sudo cp /usr/local/sbin/sshd /usr/sbin/
sudo cp /etc/init.d/ssh.old /etc/init.d/ssh
sudo service ssh stop
sudo service ssh start
本地ssh -V查看版本
远程主机telnet 该主机22端口,看返回版本是否为8.0
适用SSH远程登录,测试。
如成功升级,卸载telnetd,执行如下命令:
sudo dpkg -r telnetd

附件i、如果ssh服务开机不自动启动按如下修改
vim /etc/rc.local
在exit 0上一行添加
/usr/local/openssh/sbin/sshd
所有内容收录在百度网盘,欢迎下载交流:
链接:https://pan.baidu.com/s/1JY4EaBEuRk_8bSn2fgH0KQ
提取码:60uu

欢迎关注我的个人公众号

openssh 8.0你更新了么?附录全套攻略,欢迎点赞!