高效解决OpenSSH主机安全漏洞的策略与方案

OpenSSH auth_password 函数拒绝服务漏洞(CVE-2016-6515)

OpenSSH 多个拒绝服务漏洞(CVE-2016-10708)

OpenSSH 安全限制绕过漏洞(CVE-2016-10012)

OpenSSH 远程代码执行漏洞(CVE-2016-10009)

OpenSSH 安全漏洞(CVE-2016-1908)

解决方案：将OpenSSH升级到最新（8.7）版本

具体操作：

1、依赖软件包：

百胜安装wget gcc -y

yum install -y zlib-devel openssl-devel

yum 安装pam-devel libselinux-devel zlib-devel openssl-devel -y

2、下载安装包OpenSSH8.7并上传到服务器或者直接用wget下载

wgethttps://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.7p1.tar.gz

3、删除低版本OpenSSH的rpm包

rpm -e --nodeps `rpm -qa | rpm -e --nodeps `rpm -qa | rpm -e --nodeps `rpm -qa | grep openssh`

4.安装openssh

解压

tar -zxvf openssh-8.7p1.tar.gz

cd openssh-8.7p1

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --无强化

编译安装

制作

进行安装

赋权

chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key

复制配置文件并设置允许root用户远程登录

cp -a contrib/redhat/sshd.init /etc/init.d/sshd

cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam

chmod u+x /etc/init.d/sshd

vim /etc/ssh/sshd_config

1. 修改#PermitRootLogin Prevent-password 项，去掉注释#，将prohibit-password 修改为yes。修改后变成PermitRootLogin yes。

2、去掉注释#PasswordAuthentication yes，改为PasswordAuthentication yes

将自启动服务ssh添加到启动项

chkconfig --添加sshdchkconfig sshd on

重启服务

systemctl 重新启动sshd

检查安装结果：

ssh-V

注意：升级到更高版本会导致xshell或xftp登录错误。

第一步，检查/etc/ssh/sshd_config 文件中的配置

允许根登录是

公钥验证是

密码验证是

第二步检查防火墙是否开启

设定强度0

第三步检查/etc/pam.d/sshd文件是否存在

/etc/pam.d/sshd 文件必须存在。如果不存在，则验证失败。

centos7下/etc/pam.d/sshd文件内容：

#%PAM-1.0

需要身份验证pam_sepermit.so

身份验证子堆栈密码身份验证

授权包括登录后

# 与polkit 一起使用以重新授权远程会话中的用户

-auth 可选pam_reauthorize.so 准备

需要帐户pam_nologin.so

帐户包括密码验证

密码包括密码验证

# pam_selinux.so close 应该是第一个会话规则

需要会话pam_selinux.so 关闭

需要会话pam_loginuid.so

# pam_selinux.so open 后面应该只有要在用户上下文中执行的会话

需要会话pam_selinux.so 打开env_params

需要会话pam_namespace.so

会话可选pam_keyinit.so 强制撤销

会话包括密码验证

会话包括登录后

# 与polkit 一起使用以重新授权远程会话中的用户

-会话可选pam_reauthorize.so 准备

高效解决OpenSSH主机安全漏洞的策略与方案的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于、高效解决OpenSSH主机安全漏洞的策略与方案的信息别忘了在本站进行查找哦。

用户评论

绝版女子

这篇文章终于来了！我一直关注着OpenSSH的安全问题，希望找到一些解决办法。

    有8位网友表示赞同！

未来未必来

希望这篇文章能简单易懂，我不会编程，但也不想我的服务器有漏洞。

    有10位网友表示赞同！

情深至命

我最近刚升级了OpenSSH，不知道有没有修复这些安全漏洞？

    有18位网友表示赞同！

墨染天下

这篇内容太重要了，要转发给我的IT同事们看！

    有10位网友表示赞同！

心已麻木i

作为开源软件，OpenSSH的安全性真的很关键，必须重视起来。

    有14位网友表示赞同！

回到你身边

学习一些 OpenSSH 的安全配置知识，让服务器更安全一点吧！

    有5位网友表示赞同！

从此我爱的人都像你

我一直担心网络攻击, 看看这篇文章有没有什么防范措施。

    有6位网友表示赞同！

寒山远黛

OpenSSH是很多人的基础工具，解决安全漏洞很有必要！

    有19位网友表示赞同！

如梦初醒

文章提到的解决方案是否适合各个系统的OpenSSH版本？

    有5位网友表示赞同！

最怕挣扎

希望这些解决方案能提高普通用户的保护水平。

    有20位网友表示赞同！

服从

学习新的安全知识始终是好事，感谢分享这篇文章！

    有17位网友表示赞同！

浮光浅夏ζ

以后再升级OpenSSH时，要仔细检查一下更新内容了。

    有16位网友表示赞同！

咆哮

看起来作者对OpenSSH很了解，相信这些信息很有价值。

    有20位网友表示赞同！

断秋风

分享一些实际案例，能更直观地展示安全漏洞的影响吧！

    有11位网友表示赞同！

减肥伤身#

解决 OpenSSH 安全漏洞是整个网络安全的责任。

    有18位网友表示赞同！

清羽墨安

感谢开发者们为开源软件的安全付出努力！

    有20位网友表示赞同！

拽年很骚

以后用 OpenSSH 的时候，要格外注意这些安全隐患。

    有10位网友表示赞同！

花菲

网上总是存在着各种各样的安全威胁，保护自己系统很重要！

    有7位网友表示赞同！

浮世繁华

文章里提到的解决方案是否可以部署到云平台？

    有20位网友表示赞同！

墨城烟柳

需要进一步学习OpenSSH的安全最佳实践。

    有9位网友表示赞同！

【高效解决OpenSSH主机安全漏洞的策略与方案】相关文章：

1.蛤蟆讨媳妇【哈尼族民间故事】

2.米颠拜石

3.王羲之临池学书

4.清代敢于创新的“浓墨宰相”——刘墉

5.“巧取豪夺”的由来－－米芾逸事

6.荒唐洁癖　惜砚如身（米芾逸事）

7.拜石为兄－－米芾逸事

8.郑板桥轶事十则

9.王献之被公主抢亲后的悲惨人生

10.史上真实张三丰：在棺材中竟神奇复活