OpenSSH 用户枚举漏洞(CVE-2018-15919)服务器修复方法(亲测实用)
最近客户反馈公司的3台服务器存在OpenSSH 用户枚举漏洞(CVE-2018-15919),解决办法是升级OpenSSH到OpenSSH_8.1p1版本, OpenSSL 升级到OpenSSL 1.0.2r
1、查看版本
2、安装依赖
注意:一定确保服务器能连接外网,由于机房无法连接外网,本人是使用手机共享网络,所需安卓机和usb线即可。这里用到yum源安装依赖 ,还要保证yum源能正常。
yum update openssh -y
yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel
yum install -y pam* zlib*
[root@localhost ~]# yum update openssh -y
已加载插件:fastestmirror, product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
Determining fastest mirrors
base | 3.6 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
updates/x86_64/primary_db | 12 MB 00:00:09
No packages marked for update
[root@localhost ~]# yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel
已加载插件:fastestmirror, product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
Loading mirror speeds from cached hostfile
软件包 gcc-4.8.5-44.el7.x86_64 已安装并且是最新版本
软件包 gcc-c++-4.8.5-44.el7.x86_64 已安装并且是最新版本
软件包 1:make-3.82-24.el7.x86_64 已安装并且是最新版本
正在解决依赖关系
--> 正在检查事务
---> 软件包 autoconf.noarch.0.2.69-11.el7 将被 安装
--> 正在处理依赖关系 m4 >= 1.4.14,它被软件包 autoconf-2.69-11.el7.noarch 需要
---> 软件包 glibc.x86_64.0.2.17-292.el7 将被 升级
--> 正在处理依赖关系 glibc = 2.17-292.el7,它被软件包 glibc-devel-2.17-292.el7.x86_64 需要
--> 正在处理依赖关系 glibc = 2.17-292.el7,它被软件包 glibc-headers-2.17-292.el7.x86_64 需要
--> 正在处理依赖关系 glibc = 2.17-292.el7,它被软件包 glibc-common-2.17-292.el7.x86_64 需要
---> 软件包 glibc.x86_64.0.2.17-325.el7_9 将被 更新
---> 软件包 openssl.x86_64.1.1.0.2k-19.el7 将被 升级
---> 软件包 openssl.x86_64.1.1.0.2k-22.el7_9 将被 更新
--> 正在处理依赖关系 openssl-libs(x86-64) = 1:1.0.2k-22.el7_9,它被软件包 1:openssl-1.0.2k-22.el7_9.x86_64 需要[root@localhost ~]# yum install -y pam* zlib*
已加载插件:fastestmirror, product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
Loading mirror speeds from cached hostfile
软件包 pam-1.1.8-23.el7.x86_64 已安装并且是最新版本
软件包 pam-devel-1.1.8-23.el7.x86_64 已安装并且是最新版本
软件包 zlib-devel-1.2.7-19.el7_9.x86_64 已安装并且是最新版本
软件包 zlib-1.2.7-19.el7_9.x86_64 已安装并且是最新版本
正在解决依赖关系
--> 正在检查事务
---> 软件包 pam_krb5.x86_64.0.2.4.8-6.el7 将被 安装
---> 软件包 pam_pkcs11.x86_64.0.0.6.2-30.el7 将被 安装
---> 软件包 pam_snapper.x86_64.0.0.2.8-4.el7 将被 安装
--> 正在处理依赖关系 snapper(x86-64) = 0.2.8-4.el7,它被软件包 pam_snapper-0.2.8-4.el7.x86_64 需要
---> 软件包 pam_ssh_agent_auth.x86_64.0.0.10.3-2.21.el7 将被 安装
---> 软件包 zlib-static.x86_64.0.1.2.7-19.el7_9 将被 安装
--> 正在检查事务
---> 软件包 snapper.x86_64.0.0.2.8-4.el7 将被 安装
--> 正在处理依赖关系 snapper-libs(x86-64) = 0.2.8-4.el7,它被软件包 snapper-0.2.8-4.el7.x86_64 需要
--> 正在处理依赖关系 libsnapper.so.3()(64bit),它被软件包 snapper-0.2.8-4.el7.x86_64 需要
--> 正在处理依赖关系 libboost_serialization.so.1.53.0()(64bit),它被软件包 snapper-0.2.8-4.el7.x86_64 需要
--> 正在检查事务
---> 软件包 boost-serialization.x86_64.0.1.53.0-28.el7 将被 安装
---> 软件包 snapper-libs.x86_64.0.0.2.8-4.el7 将被 安装
--> 解决依赖关系完成3、在opt下下载升级openssh需要的2个压缩包
cd /opt
wget -c https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
wget -c https://ftp.openssl.org/source/openssl-1.0.2r.tar.gz
解压
tar xfz openssh-8.1p1.tar.gz
tar xfz openssl-1.0.2r.tar.gz
4、重新授权下
[root@localhost opt]# chown -R root.root openssh-8.1p1
[root@localhost opt]# chown -R root.root openssl-1.0.2r
5、备份原文件
[root@localhost opt]# mv /usr/bin/openssl /usr/bin/openssl_bak
[root@localhost opt]# mv /usr/include/openssl /usr/include/openssl_bak
6、安装openssl
[root@localhost opt]# cd /opt/openssl-1.0.2r/
[root@localhost openssl-1.0.2r]# ./config shared && make && make install
添加软连接
[root@localhost openssl-1.0.2r]# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
[root@localhost openssl-1.0.2r]# ln -s /usr/local/ssl/include/openssl /usr/include/openssl
[root@localhost openssl-1.0.2r]# echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
[root@localhost openssl-1.0.2r]# ldconfig
查看openssl版本
[root@localhost openssl-1.0.2r]# openssl version
OpenSSL 1.0.2r 26 Feb 2019
[root@localhost openssl-1.0.2r]#
7、安装openssh8.1(重点!!!!)
先备份源文件
[root@localhost openssl-1.0.2r]# cp -r /etc/ssh /tmp/
[root@localhost openssl-1.0.2r]#
[root@localhost openssl-1.0.2r]# rm -rf /etc/ssh
开始安装编译
[root@localhost openssl-1.0.2r]# cd /opt/openssh-8.1p1/
[root@localhost openssh-8.1p1]# ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl/lib/ --with-zlib --with-md5-passwords --with-pam && make && make install刚刚开始报很多check for ** 看到这样就执行成功了,
正式安装
[root@localhost openssh-8.1p1]# make install
8、这需要修改配置文件/etc/ssh/sshd_config
[root@localhost openssh-8.1p1]# grep '^#GSSAPI*' /etc/ssh/sshd_config
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#修改配置使root可以登录
vim /etc/ssh/sshd_config
把 #PermitRootLogin prohibit-password改为 PermitRootLogin yes
把UsePAM no改为UsePAM yes
这句我也不知道什么意思执行就对了
[root@localhost openssh-8.1p1]# install -v -m755 contrib/ssh-copy-id /usr/bin
已删除"/usr/bin/ssh-copy-id"
"contrib/ssh-copy-id" -> "/usr/bin/ssh-copy-id"
[root@localhost openssh-8.1p1]#
#从解压包openssh-8.1p1中复制文件
[root@localhost openssh-8.1p1]# cp -a contrib/redhat/sshd.init /etc/init.d/sshd
#修改执行权限
[root@localhost openssh-8.1p1]# chmod +x /etc/init.d/sshd
#修改开启启动
[root@localhost openssh-8.1p1]# chkconfig --add sshd
[root@localhost openssh-8.1p1]# systemctl enable sshd
sshd.service is not a native service, redirecting to /sbin/chkconfig.
Executing /sbin/chkconfig sshd on
注意:正在将请求转发到“systemctl enable sshd.socket”。
#移走之前的启动文件
[root@localhost openssh-8.1p1]# mv /usr/lib/systemd/system/sshd.service /root/ssh_bak
#设置sshd服务开机启动
[root@localhost openssh-8.1p1]# chkconfig sshd on
大功告成!!!!!!!!!
#查看版本
[root@localhost openssh-8.1p1]# ssh -V
OpenSSH_8.1p1, OpenSSL 1.0.2r 26 Feb 2019
OpenSSH 用户枚举漏洞(CVE-2018-15919)服务器修复方法(亲测实用)相关推荐
- 使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502)
使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502) 警告 请勿将本文提到的任何技术用于非法用途 ...
- CVE-2018-15473(OpenSSH用户枚举漏洞)
文章目录 影响版本 POC链接 POC环境配置 Payload 复现 CVE-2018-15473(OpenSSH用户枚举漏洞)复现笔记 影响版本 该影响自1999年以来至今年7.7版本中所有版本,远 ...
- Linux Bash漏洞最新最全的修复方法
原文链接:Linux Bash漏洞测试方法与修复方法http://www.jishubu.net/yunwei/anquan/382.html Linux 用户今天又得到了一个"惊喜&quo ...
- 服务器进tp5项目报nginx404错误,TP5框架在nginx环境下路由报404错误解决方法 亲测可用...
前段时间给客户写了个TP5框架的后台,主要是API调用,上传到客户服务器后发现首页可用,但所有内页报404错误,网上一搜发现天多一样的问题,但找了很多都是不可用的,而且都是过时的,但最终还是自己试出来 ...
- Ubuntu 14.04 smba服务器的配置——亲测方便可用
SMB(Server Messages Block,信息服务块)是为了在ubuntu虚拟机与windows之间共享文件. 具体配置过程如下: (1)安装SMB应用 sudo apt-get insta ...
- Linux集中日志服务器rsyslog(亲测)
Linux上通常可以通过rsyslog来实现系统日志的集中管理,这种情况下通常会有一个日志服务器,然后每个机器配置自己日志通过rsyslog来写到远程的日志服务器上. 这里假定有两台服务器,一台作为系 ...
- webstorm 2018 激活破解方法亲测可用
首先去https://www.jetbrains.com/webstorm/download/previous.html下载2018.2版本的webstorm(注意2018.2.1和2018.2.2不 ...
- 绝地服务器未响应,亲测有效!win7系统玩绝地求生吃鸡启动没反应的解决方法...
有朋友在win7系统下玩绝地求生吃鸡游戏,遇到了无法启动的问题,下面小编来跟大家说说怎么办? 问题分析: 游戏运行需要win7 sp1更新包和visual c++ 2015支持:如果已经是sp1的用户 ...
- idea完美破解(2018.3.5 ),亲测可用!
1.首先下载idea2018.3.5和破解补丁JetbrainsIdesCrack-4.2-release-sha1-3323d5d0b82e716609808090d3dc7cb3198b8c4b. ...
- 西方哲学智慧2018网课考题(本人亲测,已满分)
(本人亲测,已满分) 一.单选题(50题,50.0分) 1.斯宾诺莎认为笛卡尔哲学理论的缺陷是? A.缺乏完整性 B.因为怀疑而自我消解 C.二元论缺乏第一动力 D.不能解释神的存在 1.0 分 我的 ...
最新文章
- DOM中的setInterval方法
- 免费获取 Kaspersky Small Office Security 90 天授权
- pctfree pctused详解
- 经典C语言程序100例之三六
- python类型错误如何解决_在Python中 出现的错误类型以及解决办法
- MYSQL----myownstars(102)
- BZOJ 2436 Noi嘉年华(优化DP)
- linux进程间通信-概述
- Atitit java字符串模板渲染总结 目录 1. 总结:指标 1 1.1. 支持中文变量 提升可读性 1 1.2. 变量placeholder简单性,,velo可以直接¥前导简单。。Free的
- ArcSDE数据库学习总结
- 数字电路基础知识(三) 复位设计-异步复位,同步释放
- 用vuejs如何实现ajax,vuejs使用FormData实现ajax上传图片文件
- 软件设计师考试都考什么内容
- 《机器学习》赵卫东学习笔记 第5章文本分析(课后习题及答案)
- UIKit的简单入门介绍
- 寻找复杂背景下的物体轮廓 (从禾路的博客园整理学习)
- [开题报告+任务书+论文+PPT+源码]基于安卓的个人图书馆设计[包运行成功]
- 大学计算机课程ppt,以计算思维为导向的大学计算机基础课
- 百度静态网站全站搜索功能
- 关于移相网络的深入分析