OpenSSH用户枚举漏洞修复过程

1.背景

平台虚机存在中危漏洞,要求及时整改漏洞
漏洞是: OpenSSH用户枚举漏洞(CVE-2018-15473)
修复建议:
1.关闭公钥身份认证2.升级到7.7以上版本 OpenSSH

2.修复过程

# 查看OpenSSH版本
[]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
[]# openssl version
OpenSSL 1.1.1s  1 Nov 2022

# 修复方式-升级版本
yum update openssh -y
yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel
yum install -y pam* zlib*
wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz --no-check-certificate
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.3p1.tar.gz --no-check-certificate
tar xfz openssh-8.3p1.tar.gz
tar xfz openssl-1.1.1g.tar.gz
chown -R root.root openssh-8.3p1
chown -R root.root openssl-1.1.1g

## 备份原文件
mv /usr/bin/openssl /usr/bin/openssl_bak
mv /usr/include/openssl /usr/include/openssl_bak

## 安装openssl
cd /opt/openssl-1.1.1g/
./config shared && make && make install
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig
openssl version

## 安装openssh
cp -r  /etc/ssh /tmp/
rm -rf /etc/ssh
cd /opt/openssh-8.3p1/
./configure --with-zlib --with-ssl-dir --with-pam --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh
make && make install

/etc/ssh/sshd_config 配置文件同步

service sshd restart

3.重启后报错

sshd状态非running

service sshd restart

通过 systemctl status sshd 查看失败原因:
sshd : Unregistered Authentication Agent for unix-process

问题原因:
1. /usr/lib/systemd/system/sshd.service 没有删除
2. 删除后通过systemctl enable sshd重新生成
rm /usr/lib/systemd/system/sshd.service
systemctl enable sshd
service sshd restart
[OK]

从别的主机远程登录时报错

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.

4.引用

OpenSSH 用户枚举漏洞(CVE-2018-15919)服务器修复方法
OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞处理
centos7.x下ssh升级到最新版本
ssh登陆报错“IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!“问题原因及解决方法

posted @ 2023-05-09 16:30  钱塘江畔  阅读(1631)  评论(0)    收藏  举报