빈틈 복구, Openssh 보안 빈틈(CVE-2017-15906) 및 Openssh 사용자 매거 빈틈(CVE-2018-15919) 내망 Openssh 업그레이드 과정을 기록합니다.

## 구멍 복구, Openssh 보안 구멍(CVE-2017-15906) 및 Openssh 사용자 매거 구멍(CVE-2018-15919) 내망 Openssh 업그레이드 과정을 기록합니다.

작업 중에 우연히 제 서버의 두 가지 빈틈을 발견했습니다. Openssh 보안 빈틈(CVE-2017-15906)과 Openssh 사용자 매거진 빈틈(CVE-2018-15919) 인터넷 조회 자료를 보면 제 centos 서버 ssh 버전이 너무 낮기 때문입니다. 홈페이지에서 최신 Openssh를 다운로드한 후에 업그레이드를 하면 됩니다. 업그레이드 과정에서 많은 난제에 부딪혔습니다. ssh가 시작되지 못하고 ssl 설치가 실패하며 컴파일할 수 없는 문제입니다.그러나 차라리 마지막에 다 해결했으니 기록해 두면 필요한 학우들이 참고하기 편하고 다음은 본론으로 들어가야 한다

업그레이드하기 전에 반드시 자신의 텔레포트 서비스가 열려 있고 사용할 수 있도록 확보해야 한다..

ssh -V， ssh

`[centod@localhost ~]$ ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

복사 폴더 gcc-c++,openssl-devel,pam-devel에서/data 디렉터리로

cd /data/
cd gcc-c++/
rpm -ivh * --force --nodeps
cd ../openssl-devel
rpm -ivh * --force --nodeps
cd ../pam-devel
rpm -ivh * --force --nodeps

telnet 서비스 시작 여부 검사

netstat -natp|grep "23"

시작하지 않으면 텔넷 서비스를 시작합니다.

vi /etc/xinetd.d/telnet
 disable yes no telnet 
mv /etc/securetty /etc/securetty.old         # root telnet 
service xinetd start                   # telnet 
chkconfig xinetd on                    # telnet ， 

업그레이드 시작
기존 openssh 제거

yum remove openssh -y

컴파일 환경 준비

yum install gcc openssl-devel zlib-devel

Openssh 업데이트 패키지를 다운로드하면 업로드를 직접 다운로드할 수 있고, 외부 네트워크가 있으면 wget을 사용하여 자원을 직접 다운로드할 수 있습니다.

wget " "

openssh 설치 패키지를/mnt에 업로드하고 압축을 풀고 컴파일합니다.

tar -zxcf openssh-8.0.tar.gz

openssh8.0 디렉터리 진입

cd openssh8.0

configure 실행

./configure

컴파일할 명령 입력

make && make install

ssh 파일 복사

cp /usr/local/bin/ssh /usr/bin/ssh
cp /usr/local/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub
cp /mnt/openssh-8.0p1/contrib/redhat/sshd.init /etc/init.d/sshd
cp ./contrib/redhat/sshd.init /etc/init.d/sshd

프로파일 수정

etc/ssh/sshd_config

 #PermitRootLogin PermitRootLogin yes

 /usr/libexec/sftp-server /usr/local/libexec/sftp-server

  /etc/init.d/sshd

 SSHD=/usr/sbin/sshd   SSHD=/usr/local/sbin/sshd

 /usr/sbin/ssh-keygen -A   /usr/local/bin/ssh-keygen -A

  ‘$SSHD $OPTIONS && success || failure’  ‘OPTIONS="-f /etc/ssh/sshd_config"’

시스템 서비스 가입

chkconfig --add sshd
chkconfig sshd on

검사 서비스

chkconfig --list |grep sshd
sshd               0:off    1:off    2:on    3:on    4:on    5:on    6:off

서비스 시작

service sshd start

ssh 버전 확인

[root@oracle ~]# ssh -V
openssh-8.0p1, OpenSSL 1.0.1e-fips 11 Feb 2013

주의: 업그레이드 과정에서 ssh를 통해 원격 업그레이드를 하면 실패하면 sshd 서비스가 시작될 수 있습니다.로컬에서 작업하는 것이 좋습니다.