openssh 8.0你更新了么？附录全套攻略，欢迎点赞！

OpenSSH 8.0 发布了，此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111，该漏洞此前咱们以前报导过：知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。将文件从远程系统复制到本地目录时，SCP 客户端没法验证 SCP 服务器返回的对象是否与请求的东西一致，这使得***者可使用恶意服务器控制的内容建立或破坏本地文件。

OpenSSH 8.0 的缓解措施添加了客户端检查，查看从服务器发送的文件名与命令行请求是否匹配。

SCP 协议已通过时，不灵活且不易修复，OpenSSH 官方建议使用更现代的协议进行文件传输，如 sftp 和 rsync。

此版本新特性包括：

ssh(1)、ssh-agent(1)、ssh-add(1)：PKCS#11 token 中添加对 ECDSA 密钥的支持。

ssh(1)、sshd(8)：基于 Streamlined NTRU Prime 4591^761 和 X25519 的组合，添加实验性量子计算抗性密钥交换方法。

ssh-keygen(1)：将默认 RSA 密钥大小增长到 3072 位。

ssh(1)：容许“PKCS11Provider = none”覆盖 ssh_config 中 PKCS11Provider 指令的后续实例。

ssh(1)：提示是否录制新主机密钥时，输入密钥指纹做为“yes”。

ssh-keygen(1)：在单个命令行调用上签名多个证书时，容许自动递增证书序列号。

scp(1)、sftp(1)：接受 -J 选项做为 scp 和 sftp 命令行上 ProxyJump 的别名。

ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1)：接受“-v”命令行标志以增长输出的详细程度；将详细标志传递给子进程，例如从 ssh-agent 启动的 ssh-pkcs11-helper。

ssh-add(1)：添加“-T”选项以容许经过执行签名和验证来测试代理中的密钥是否可用。

sshd(8)：在 PAM 环境中暴露 $SSH_CONNECTION。

---

安装方法（划重点！）
一、LINUX4.0升级OPENSSH方法
首先须要配置YUM源！！
Yum配置文件在/etc/yum.repos.d/
挂载安装光盘镜像到/mnt目录，并拷贝光盘文件到建立的/rhel-dvd目录。
mount /dev/cdrom /mnt
屏蔽系统的默认YUM源，并建立新的YUM源文件
cd /etc/yum.repos.d/
mkdir old
mv .repo old/
touch localyum.repo
而后编辑localyunm.repo，内容以下：
[LINUX]
name=LINUX
gpgcheck=0
enable=1
baseurl=file:///mnt
编辑完成后
[root@myhost yum.repos.d]# yum makecache
Loaded plugins: product-id, search-disabled-repos, security, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
LINUX | 4.1 kB 00:00 ...
LINUX /group_gz | 216 kB 00:00 ...
LINUX /filelists_db | 3.4 MB 00:00 ...
LINUX /primary_db | 3.1 MB 00:00 ...
LINUX /other_db | 1.3 MB 00:00 ...
Metadata Cache Created
此方法中的第10步，视状况修改！！！！
一、ssh登陆到要安装的服务器上,查看当前版本
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
二、在/目录下建立/tools目录，经过FTP工具上传安装文件到该目录下
mkdir /tools
使用yum安装Telnet服务
三、为防止重启SSH后没法登陆，安装TELNET
yum install -y telnet-server
四、修改telnet文件disable=no(原有值为yes),容许用户远程登陆
sed -i '12 s/yes/no/' /etc/xinetd.d/telnet
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securetty
echo 'pts/3' >>/etc/securetty
五、而后重启服务
service xinetd restart
Stopping xinetd: [FAILED]
Starting xinetd: [ OK ]
重启后，适用telnet登陆LINUX系统。执行以后操做！！
六、用ROOT帐户使用telnet登陆系统执行修改OPENSSH操做
rpm -e openssh-server-5.3p1-122.el6.x86_64
安装必要的软件包
yum install -y gcc
yum -y install pam-devel

七、安装zlib
cd /tools
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure --prefix=/usr/local/zlib && make && make install
cd ..
八、安装openssl
tar -zxvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config --prefix=/usr/local/openssl && make depend && make && make install
cd ..
九、安装openssh
tar -zxvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
十、修改version.h文件，把里面””里面的内容改为“空格”。
/ $OpenBSD: version.h,v 1.80 2017/09/30 22:26:33 djm Exp $ /
#define SSH_VERSION " "
#define SSH_PORTABLE " "
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE
十一、而后再在执行编译安装
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib --with-md5-passwords --with-pam --without-hardening && make && make install
十二、拷贝SSHD服务文件
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
1三、修改SSHD服务文件，修改对应指令的安装目录
vi /etc/init.d/sshd
SSHD=/usr/sbin/sshd 为 SSHD=/usr/local/openssh/sbin/sshd
/usr/bin/ssh-keygen -A 为 /usr/local/openssh/bin/ssh-keygen -A
1四、保存退出
把SSHD加入到系统服务
chkconfig --add sshd
1五、查看系统启动服务是否增长改项
chkconfig --list |grep sshd
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
1六、从新启动SSHD服务。
service sshd start
1七、替换SSH及SSL命令
mv /usr/bin/ssh /usr/bin/ssh.old
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
1八、检查相关软件版本
[root@myhost ~]# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2h 3 May 2016
[root@myhost ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/openssl/ssl"
升级到新版本后，默认不容许root用户远程登陆，修改/etc/ssh/sshd_config配置文件。
PermitRootLogin yes
从新启动SSHD服务。
service sshd start
测试登陆SSH，测试成功后，删除TELNET
rpm -e telnet-server-0.17-47.el6_3.1.x86_64
rpm -e xinetd-2.3.14-39.el6_4.x86_64

二、LINUX5.0升级OPENSSH方法
首先须要配置YUM源！！
Yum配置文件在/etc/yum.repos.d/
挂载安装光盘镜像到/mnt目录，并拷贝光盘文件到建立的/rhel-dvd目录。
mount /dev/cdrom /mnt
屏蔽系统的默认YUM源，并建立新的YUM源文件
cd /etc/yum.repos.d/
mkdir old
mv .repo old/
touch localyum.repo
而后编辑localyunm.repo，内容以下：
[LINUX]
name=LINUX
gpgcheck=0
enable=1
baseurl=file:///mnt
编辑完成后
[root@myhost yum.repos.d]# yum makecache
Loaded plugins: product-id, search-disabled-repos, security, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
LINUX | 4.1 kB 00:00 ...
LINUX /group_gz | 216 kB 00:00 ...
LINUX /filelists_db | 3.4 MB 00:00 ...
LINUX /primary_db | 3.1 MB 00:00 ...
LINUX /other_db | 1.3 MB 00:00 ...
Metadata Cache Created
此方法中的第10步，视状况修改！！！！
一、ssh登陆到要安装的服务器上,查看当前版本
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
二、在/目录下建立/tools目录，经过FTP工具上传安装文件到该目录下
mkdir /tools
使用yum安装Telnet服务
三、为防止重启SSH后没法登陆，安装TELNET
yum install -y telnet-server
四、修改telnet文件disable=no(原有值为yes),容许用户远程登陆
sed -i '12 s/yes/no/' /etc/xinetd.d/telnet
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securetty
echo 'pts/3' >>/etc/securetty
五、而后重启服务
service xinetd restart
Stopping xinetd: [FAILED]
Starting xinetd: [ OK ]
重启后，适用telnet登陆LINUX系统。执行以后操做！！
六、用ROOT帐户使用telnet登陆系统执行修改OPENSSH操做
rpm -e openssh-server-5.3p1-122.el6.x86_64
安装必要的软件包
yum install -y gcc
yum -y install pam-devel
七、安装zlib
cd /tools
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure --prefix=/usr/local/zlib && make && make install
cd ..
八、安装openssl
tar -xvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config --prefix=/usr/local/openssl && make depend && make && make install
cd ..
九、安装openssh
tar -xvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
十、修改version.h文件，把里面””里面的内容改为“空格”。
/ $OpenBSD: version.h,v 1.80 2017/09/30 22:26:33 djm Exp $ /
#define SSH_VERSION " "
#define SSH_PORTABLE " "
#define SSH_RELEASE SSH_VERSION SSH_PORTABLE
十一、而后再在执行编译安装
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib --with-md5-passwords --with-pam --without-hardening && make && make install
十二、拷贝SSHD服务文件
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
1三、修改SSHD服务文件，修改对应指令的安装目录
vi /etc/init.d/sshd
SSHD=/usr/sbin/sshd 为 SSHD=/usr/local/openssh/sbin/sshd
/usr/bin/ssh-keygen -A 为 /usr/local/openssh/bin/ssh-keygen -A
1四、保存退出
把SSHD加入到系统服务
chkconfig --add sshd
1五、查看系统启动服务是否增长改项
chkconfig --list |grep sshd
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
1六、从新启动SSHD服务。
service sshd start
1七、替换SSH及SSL命令
mv /usr/bin/ssh /usr/bin/ssh.old
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
1八、检查相关软件版本
[root@myhost ~]# ssh -V
OpenSSH_8.0p1, OpenSSL 1.0.2h 3 May 2016
[root@myhost ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/openssl/ssl"
2.1九、升级到新版本后，默认不容许root用户远程登陆，修改/etc/ssh/sshd_config配置文件。
PermitRootLogin yes
2.20、从新启动SSHD服务。
service sshd start
2.2一、测试登陆SSH，测试成功后，删除TELNET
rpm -e telnet-server-0.17-47.el6_3.1.x86_64
rpm -e xinetd-2.3.14-39.el6_4.x86_64
三、LINUX6.0升级OPENSSH方法
安装TELNET，防止OPENSSH服务失败
安装telnet-server及xinetd包
适用rpm –ivh安装这两个包
若是想直接以root用户登陆对方主机，能够在修改对方主机上的配置文件/etc/pam.d/remote
注释/etc/pam.d/remote的第一行,
即:#auth required pam_securetty.so
启动telnet服务
systemctl start telnet.socket && systemctl start xinetd
以后经常使用telnet登陆系统

3.一、备份原有配置文件，并修改
cp /etc/pam.d/sshd /root
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

3.二、检查是否包含openssh-askpass包
执行rpm -qa|grep openssh-askpass
若是返回存在openssh-askpass-<版本>.x86_64包，则须要卸载该安装包
执行 rpm -e <安装包名>

3.三、拷贝openssh安装包到服务器
建立安装包目录mkdir /openssl
使用XFTP或其它FTP工具，把如下安装包拷贝到/openssl目录
openssh-8.0p1-1.el6.x86_64.rpm
openssh-clients-8.0p1-1.el6.x86_64.rpm
openssh-debuginfo-8.0p1-1.el6.x86_64.rpm
openssh-server-8.0p1-1.el6.x86_64.rpm

3.四、执行升级命令
cd /openssh
rpm -Uvh *.rpm

3.五、恢复配置文件
Vi修改/etc/ssh/sshd_config文件，修改以下内容：

#PermitRootLogin prohibit-password 修改成PermitRootLogin yes
#UsePAM no 修改成 UsePAM yes

恢复sshd配置文件
cp /root/sshd /etc/pam.d/
提示输入y确认

3.六、从新生成加密秘钥
cd /etc/ssh/
mkdir old
mv sshhost* old
最后从新启动SSH服务
/etc/init.d/sshd restart
重启以后检查ssh -V 当前版本是否为8.0
四、LINUX7.0升级OPENSSH方法
安装TELNET，防止OPENSSH服务失败
安装telnet-server及xinetd包
适用rpm –ivh安装这两个包
若是想直接以root用户登陆对方主机，能够在修改对方主机上的配置文件/etc/pam.d/remote
注释/etc/pam.d/remote的第一行,
即:#auth required pam_securetty.so
启动telnet服务
systemctl start telnet.socket && systemctl start xinetd
以后经常使用telnet登陆系统

4.一、备份原有配置文件，并修改
cp /etc/pam.d/sshd /root
mv /etc/pam.d/sshd /etc/pam.d/sshd.old

4.二、检查是否包含openssh-askpass包
执行rpm -qa|grep openssh-askpass
若是返回存在openssh-askpass-<版本>.x86_64包，则须要卸载该安装包
执行 rpm -e <安装包名>

4.三、拷贝openssh安装包到服务器
建立安装包目录mkdir /openssh
使用XFTP或其它FTP工具，把如下安装包拷贝到/openssh目录
openssh-8.0p1-1.el6.x86_64.rpm
openssh-clients-8.0p1-1.el6.x86_64.rpm
openssh-debuginfo-8.0p1-1.el6.x86_64.rpm
openssh-server-8.0p1-1.el6.x86_64.rpm

4.四、执行升级命令
cd /openssh
rpm -Uvh *.rpm

4.五、恢复配置文件
Vi修改/etc/ssh/sshd_config文件，修改以下内容：

#PermitRootLogin prohibit-password 修改成PermitRootLogin yes
#UsePAM no 修改成 UsePAM yes

恢复sshd配置文件
cp /root/sshd /etc/pam.d/
提示输入y确认

4.六、从新生成key秘钥
cd /etc/ssh
mkdir key_bak
mv sshhost* key_bak
最后从新启动SSH服务

4.七、重启SSHD
/etc/init.d/sshd restart
重启以后检查ssh -V 当前版本是否为8.0

五、UBUNTU系统升级

适用于一下版本UBUNTU
jcadmin@ubuntu:~/deb$ uname -a
Linux ubuntu 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
jcadmin@ubuntu:~/deb$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04 LTS
Release: 12.04
Codename: precise

5.一、安装必备包
上传安装包deb.tar source_ssh.tar ssh5.9.tar
sudo cp /etc/init.d/ssh /etc/init.d/ssh.old
tar -xvf deb.tar
cd deb
sudo dpkg -i *.deb
netstat -a | grep telnet

5.二、telnet 登陆，卸载ssh
sudo dpkg -r openssh-server
sudo dpkg -r openssh-client
cd /etc/
sudo mv ssh/ ssh.old

5.三、安装软件包
cd ~
tar -xvf source_ssh.tar
cd source_ssh/
tar -xvf zlib-1.2.8.tar.gz
cd zlib-1.2.8/
sudo ./configure
sudo make && sudo make install
cd ..
tar -xvf openssl-1.0.2s.tar.gz
cd openssl-1.0.2s/
sudo ./config -fPIC
sudo make && sudo make install
cd ..
tar -xvf openssh-8.0p1.tar.gz
cd openssh-8.0p1/
sudo ./configure --sysconfdir=/etc/ssh --with-md5-passwords --with-ssl-dir=/usr/local/ssl
sudo make && sudo make install

若是make install 报错提示ssh用户不存在，增长SSH用户信息
sudo vi /etc/passwd
增长sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin

5.四、恢复服务
sudo cp /usr/local/sbin/sshd /usr/bin/
sudo cp /usr/local/sbin/sshd /usr/sbin/
sudo cp /etc/init.d/ssh.old /etc/init.d/ssh
sudo service ssh stop
sudo service ssh start
本地ssh -V查看版本
远程主机telnet 该主机22端口，看返回版本是否为8.0
适用SSH远程登陆，测试。
如成功升级，卸载telnetd,执行以下命令：
sudo dpkg -r telnetd

附件i、若是ssh服务开机不自动启动按以下修改
vim /etc/rc.local
在exit 0上一行添加
/usr/local/openssh/sbin/sshd
全部内容收录在百度网盘，欢迎下载交流：
连接：https://pan.baidu.com/s/1JY4EaBEuRk_8bSn2fgH0KQ
提取码：60uu

欢迎关注个人我的公众号