openssh漏洞升级版本文档.docxVIP

Openssh升级步骤：

参考地址：.361/openssh-schnorr/3930.html

一、确定telnet能连接到服务器，如果不能连接，需要安装telnet服务器

#yuminstal1telnettelnet-serverpam-devel-y

#sed-i*s/yes/no/g1/etc/xinetd.d/telnetservicexinetdrestart

#mv/etc/securetty/etc/securetty.bak

二、启用telnet和配置登陆

#servicexinetdrestart

#vim/etc/xinetd.d/telnet

修改disable =no

#mv/etc/securetty/etc/securetty.bak 后面需要改名回来

防火墙增力口：-Ainput-mstate--stateNEW-mtcp-ptcp--dport22-jACCEPT此时，telnet连接到服务器

三.程序升级

l.openssl包的安装

#

#./config-fPlCthreadssharedmakemaketestmakeinstal1

3?#mv/usr/bin/openssl/usr/bin/openssl.OFF

#mv/usr/include/openssl/usr/include/openssl.OFF

//该步骤可能提示无文件，忽略即可

#In-s/usr/local/ssl/bin/openssl/usr/bin/openssl

#1n-s/usr/local/ssl/include/openssl/usr/include/openssl

//移走原先系统自带的openssl,将自己编译产生的新文件进行链接

注:不能卸载原openssl包,否则会影响系统的ssl加密库文件,除非你可以做两个软连接libcryto和libsslo

配置文件搜索路径：

#chmod755

#/sbin/ldconfig-vopensslversion-a

I

OpenSSL1.0.114Mar2012

bui1ton:FriMar1617:14:50CST2012

platform:1inux-x86_64

options:bn(64,64)rc4(16x,int)des(idx,cisc,16,int)idea(int)blowfish(idx)

compiler：gcc-fPIC-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-Wa,--noexecstack-rn64-DL_ENDIAN-DTERMIO-03-wall-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m-DSHA1_ASM-DSHA256_ASM-DSHA512_ASM-DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASM

OPENSSLDIR：/usr/local/ssl

2、卸载原openssh包

备份启动脚本

#cp/etc/init.d/sshd/root//sbin/servicesshdstop

停止SSHD服务

卸载系统里原有Openssh

#rpm-qagrepopenssh〃查询系统原安装的openssh包，全部卸载。

#rpm-eopenssh-nodeps

#rpm-eopcnssh-server-nodeps

#rpm-eopenssh-clients-nodeps

#rpm-eopenssh-askpass

或rpm-e-nodepsrpm-qagrepopenssh

3、解压安装zlib包

#tar-zxvfzlib-1.2.11.tar.gzcdzlib-l.2.11,/configuremakemakeinstall

〃首先安装zlib库，否则会报zlib.c错误无法进行

4、升级openssh包

先将将/etc/ssh的文件夹备份：

#mv/etc/ssh/etc/sshbaktar-zxvfopenssh-