场景描述与升级方案
1:场景描述
下图为绿盟科技 远程安全评估系统检测漏洞截图
本文档参照绿盟提供解决办法:源码安装 openssh5.0以上厂商p1补丁安装包 (本文档为6.0p1)
下载地址

 

ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.0p1.tar.gz
2:升级源码补丁安装包前所需条件
检查openssl 版本在0.9.6以上 
# rpm –qa |grep openssl
 
检查zlib版本在1.2.1.2以上
#rpm –qa |grep zlib    
3:升级
使用root用户登录系统进入到/root 上传openssh-6.0p1.tar.gz到该目录下
1: 备份原rpm启动脚本到当前路径下
#cp /etc/init.d/sshd ./  
2:停止服务
#/etc/init.d/sshd stop
3: 查看已安装rpm openssh
#rpm –qa |grep openssh
4:删除原rpm openssh软件包
#rpm -e openssh-server-4.3p2-29.el5 openssh-4.3p2-29.el5 openssh-clients-4.3p2-29.el5 openssh-askpass-4.3p2-29.el5
5:解压源码补丁安装包(会在当前路径下创建openssh6.0p1目录)
#tar -zxvf openssh 6.0p1.tar.gz  
6: 进入该目录
#cd /root/openssh6.0p1  
7: 配置指定安装目录  同时不检查zlib版本(节省时间如果zlib版本过低那么就会造成openssh的源文件无法编译成功)
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check 
8:make 编译
9:make install 安装
10:检查是否升级成功
#ssh –V
下图为升级成功
11:vim /etc/ssh/sshd_config 修改配置文件(参照下方sshd配置文件安全配置要求)
12:拷贝启动脚本到/etc/init.d/下
#cp /root/sshd /etc/init.d/
13: 开启服务
#/etc/init.d/sshd start
开启服务时会有一个提示
因为这个路径目录已经通过卸载rpm包被删除、手动创建一个即可(该路径在启动脚本中为通过日志记录sshd服务的启动信息)
#mkdir /var/empty/sshd
14:设置SSHD服务为开机启动
#chkconfig --add sshd
#chkconfig sshd on
15:检查端口是否正常
#netstat -an |grep :22
 
sshd配置文件安全配置要求
sshd配置文件路径/etc/ssh/sshd_config
Protocol 2      #为使用的协议
X11Forwarding yes    #允许窗口图形传输使用ssh加密 yes允许
IgnoreRhosts yes     #完全禁止sshd使用.rhosts文件 yes禁止
RhostsAuthentication no #不设置使用基于rhosts的安全验证
RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全认证
HostbasedAuthentication no #不允许基于主机白名单的方式认证
PermitEmptyPasswords no #不允许空密码
给以下增加注释
#GSSAPICleanupCredentials no 是否在用户退出登录后自动销毁用户凭证缓存。默认值是"yes"。仅用于SSH-2
#GSSAPIAuthentication 是否允许使用基于 GSSAPI 的用户认证。默认值为"no"。仅用于SSH-2。
#USEPAM=YES 使用pam认证 NO
 
修改后保存推出vim重启服务