cenos7.9处理openssh漏洞

1. openssh 漏洞处理：
离线包现在地址：
***update.sh脚本未经验证，不建议使用，建议按照readme.md文档操作***
准备工作：
需要准备离线包：
安装包结构
openssh-9.9p1.tar.gz
openssl-3.4.0.tar.gz
telnet  # 存放telnet离线包
pam     # 存放pam离线包
zlib    # 存放zlib离线包
提前创建非root用户用于telnet登录

预处理防止升级过程中连接中断
#rpm离线安装telnet服务
rpm -ivh ./telnet/telnet-0.17-65.el7_8.x86_64.rpm
rpm -ivh ./telnet/telnet-server-0.17-65.el7_8.x86_64.rpm
rpm -ivh ./telnet/xinetd-2.3.15-14.el7.x86_64.rpm
#启动telnet服务
systemctl start xinetd
systemctl start telnet.socket
#开启防火墙23/40022端口
firewall-cmd --permanent --add-port=23/tcp --zone=public
firewall-cmd --permanent --add-port=40022/tcp --zone=public
firewall-cmd --reload
#windows打开cmd窗口,telnet即可登陆服务器
telnet [服务器ip] 23

#使用非root用户登录，在跳转到root用户
由于telnet是明文传输，不安全，所以升级完成后，必须停止该服务

# 停止服务并卸载原有的OpenSSH
rpm -e openssh --nodeps && rpm -e openssh-clients --nodeps && rpm -e openssh-server --nodeps
# rpm离线安装zlib、pam
rpm -ivh  ./zlib/zlib-1.2.7-18.el7.x86_64.rpm
rpm -ivh  ./zlib/zlib-devel-1.2.7-18.el7.x86_64.rpm
rpm -ivh  ./pam/pam-1.1.8-23.el7.x86_64.rpm
rpm -ivh  ./pam/pam-devel-1.1.8-23.el7.x86_64.rpm
mv /etc/ssh /etc/ssh_bak

# 解压编译安装
tar -xzvf openssl-3.4.0.tar.gz
cd openssl-3.4.0
./config --prefix=/usr/ --openssldir=/usr/ shared
make && make install
#完成后看下openssl版本
openssl version

# 解压编译安装
cd ..
tar -xzvf openssh-9.9p1.tar.gz
cd openssh-9.9p1
./configure --with-zlib --with-ssl-dir --with-pam --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh
make && make install
cp contrib/redhat/sshd.init /etc/init.d/sshd
#完成后看下ssh版本
ssh -V

# 重启ssh服务
systemctl restart sshd
chkconfig --add sshd


配置服务器可以root登录
vim /etc/ssh/sshd_config
# 修改端口及配置用户密码登录
port 40022
PermitRootLogin yes
PubkeyAuthentication yes
PasswordAuthentication yes

# 重启sshd
systemctl restart sshd


# 关闭telnet及开放的23端口
systemctl stop xinetd
systemctl stop telnet.socket
firewall-cmd --permanent --remove-port=23/tcp --zone=public
firewall-cmd --reload