最近爆出了ssh的高危漏洞,编号为 CVE-2024-6387,严重性为高,影响版本范围:8.5p1 <= OpenSSH < 9.8p1。公司部署需要紧急升级openssh-server到9.8p1
因为有多台Linux需要安装,考虑到在每一台上编译比较麻烦和费时间,所以想在一台上编译成rpm,其他的只要复制过去安装就可可以了。
找了一台CentOS7.9 x86-64,查看版本号:
ssh -V OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
环境安装
yum groupinstall -y "Development Tools" yum install -y imake rpm-build pam-devel krb5-devel zlib-devel libXt-devel libX11-devel gtk2-devel git wget perl-IPC-Cmd
下载相关软件,如果版本不对,可以检查下这个文件:version.env 把下载的tar.gz包的版本对应好
cd /opt/ # 如果下载不下来,可以时候你自己的方式下载下来后,解压到 /opt下(目录是openssh-rpms) git clone https://github.com/boypt/openssh-rpms.git #将以下两个包下载后放在openssh-rpms/downloads目录中 #https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz #https://www.openssl.org/source/openssl-3.0.14.tar.gz ./pullsrc.sh #或者自行下载 #cd downloads #wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz #wget https://www.openssl.org/source/openssl-3.0.14.tar.gz [root@centos openssh-rpms]# ls /opt/openssh-rpms/downloads openssh-9.8p1.tar.gz openssl-3.0.14.tar.gz x11-ssh-askpass-1.2.4.1.tar.gz
编译rpm
cd /opt/openssh-rpms ./compile.sh
安装rpm
# 备份一份 SSH config 文件 [[ -f /etc/ssh/sshd_config ]] && mv /etc/ssh/sshd_config /etc/ssh/sshd_config.$(date +%Y%m%d) # 以防万一,key文件确认下权限,发现如果权限不对,无法启动sshd chmod -v 600 /etc/ssh/ssh_host_*_key # CD 到编译出来的rpm的目录,例如: cd /opt/openssh-rpms/el7/RPMS/x86_64 # rpm安装 find . ! -name '*debug*' -name '*.rpm' | xargs sudo yum --disablerepo=* localinstall -y # 检查版本: ssh -V # 重启服务 systemctl restart sshd # 检查下sshd的启动情况 systemctl status sshd
注意重启sshd后,不要退出当前的ssh连接,另外开一个新窗口试试能否用ssh连接,如果不行,可以用备份的ssh config文件恢复,尤其是你的config文件中,端口自定义后,会被新配置文件覆盖的。
我把我编译好的打包,有需要的可以自取:
链接: https://pan.baidu.com/s/1DyaSx_jwUyk9dkIRfn_PeA?pwd=gge7 提取码: gge7 复制这段内容后打开百度网盘手机App,操作更方便哦
文章评论