Portable OpenSSH GSSAPI遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2006-5051)漏洞解決方案

    漏洞的名稱為Portable OpenSSH GSSAPI遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2006-5051)及OpenSSH J-PAKE授權(quán)問題漏洞(CVE-2010-4478)，廠家給出的解決方案很籠統(tǒng)。經(jīng)過各方查找資料，大致的解決方案是升級到高版本的openssh，目前最新版本是openssh 6.7p1. 

    下載地址：http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/

    可以根據(jù)自己的需要選擇下載升級，其實(shí)沒別要升級到最新版本，一般都是選擇目前較新且穩(wěn)定的版本，今天的文章里我們以最新的openssh 6.7p1為例。由于目前服務(wù)器都處于生產(chǎn)環(huán)境中，基于一切操作安全為重的思想，穩(wěn)當(dāng)期間準(zhǔn)備好telnet，以防止ssh更新出現(xiàn)問題，不能遠(yuǎn)程連接上服務(wù)器，自己跑現(xiàn)場可是比較悲催的.....

  下面看更新步驟

一.安裝開啟telnet服務(wù)

yum install telnet-* -y

#vi /etc/xinetd.d/telnet 把yes改為no
# /etc/init.d/xinetd restart

注1：如出現(xiàn) "Unencrypted connection refused. Goodbye."錯(cuò)誤提示可能是啟動了“ekrb5-telnet”服務(wù)，解決方法：將/etc/xinetd.d/ekrb5-telnet里面的disable改成=yes，再重啟xinetd服務(wù)service xinetd restart就OK了！

注2：linux的telnet默認(rèn)是不允許root用戶直接登陸的，可以選擇用戶賬號登陸，跳轉(zhuǎn)到root權(quán)限。也可以修改配置文件，這里筆者不推薦，還是安全原因。

二.安裝更新openssh

下載地址：http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/

wget -S http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-6.7p1.tar.gz

現(xiàn)在高版本OPENSSH安裝程序，現(xiàn)在最高版本是6.7p1

tar xvf openssh-6.7p1.tar.gz 
cd  openssh-6.7p1
./configure --prefix=/usr --sysconfdir=/etc/ssh

注：編譯源碼，注意編譯路徑， OPENSSH安裝在原來的路徑下，這樣后面安裝完成后就不用再次copy SSHD服務(wù)到/etc/init.d/。

make 
mv /etc/ssh/* /etc/sshbak/

安裝在原路徑下，需要把原來的配置文件移走，不然make install 可能會報(bào)錯(cuò)

make install 
cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
cp /etc/sshbak/sshd_config /etc/ssh/sshd_config
vim /etc/ssh/sshd_config
修改 Subsystem  sftp  /usr/local/libexec/sftp-server
/etc/init.d/sshd restart

這里注意安全，如果你前面編譯報(bào)錯(cuò)了，還強(qiáng)制安裝，SSHD服務(wù)可能就起不來。

chkconfig --add sshd 
chkconfig sshd on

使用ssh -V 命令查看一下 

 ssh -V

OpenSSH_6.7p1, OpenSSL 1.0.1e-fips 11 Feb 2013

已經(jīng)成功升級至6.7版本！