标签:远程登陆 原因 目标 sudo linux服务 host sudoers Fix from
【Q1 升级的原因?】
CENTOS7.6默认安装的7.4版本存在一些安全漏洞,被第三方网络安全公司给扫描出来了,故而不得不升级到OpenSSH7.7及以上。
那么,为什么不升级到目前最新版的8.4呢?
主要是考虑到:1)服务器环境是客户的生产环境;2)担心8.x不兼容7.x;
综上,在OpenSSH的诸多发布版本中,选中了 7.x 版本中的最高版本————7.9
【Q2 为什么要写这篇博文?】
升级OpenSSH,其实本身就是一项高危操作,不得不提高警惕,写得清清楚楚,明明白白。
一旦升级失败或操作不当,咱们的远程服务器可能就要与我们"阴阳相隔"....
【Q3 此博文是否原创?】
否。此博文在参考了该博文的基础上,根据自身所考虑更多细节,对部分步骤及其内容做了更多的拓展和说明。
好啦,咱们正式开搞!
【建议】建议生产环境,一定要先做测试,之后再在生产环境升级。
【环境】
7 : echo
ping/8 : base on ICMP protocol (ICMP协议 无具体端口,如果非要打开ping试试的话,尝试 8端口 + 7 端口)
20:FTP数据端口
21:文件传输服务器(控制连接)(FTP)
22:SSH端口
23:远程终端 (TELNET 基于TCP/IP协议)
25:简单邮件传输服务器(SMTP)
80:万维网服务器(HTTP)
telnet 服务版本:telnet-server-0.17-64.el7.x86_64(yum安装)
telnet 客户端版本:telnet-0.17-64.el7.x86_64(yum安装,可选装)
xinetd版本:xinetd-2.3.15-13.el7.x86_64(yum安装)
注:
要想完成telnet安装,telnet服务端和xinetd必须安装,至于telnet客户端根据自己需要安装即可!
如果本地你要是想使用telnet命令连接其他机器就需要装,如果只作为服务端需要别人连接自己,即可不用安装客户端(建议安装)
【升级前】最好关闭防火墙。如果不关闭防火墙,请开启ssh需要的端口和telnet需要的端口。
如果ssh不是22端口最好打开22端口。因为ssh配置文件默认22端口。所以建议关闭防火墙。
systemctl stop firewalld.service # 关闭防火墙
systemctl disable firewalld # 禁止开机自启
# yum install nmap
# nmap localhost
【升级前】关闭selinux.并重启
不关闭的话,可能引起的问题:
CentOS 为 vsftpd 启动 vsftpd:500 OOPS: cannot read config file: /etc/vsftpd/vsftpd.conf
# sestatus -v
或
# getenforce
关闭SELinux
setenforce 0 ##设置SELinux 成为permissive模式
##setenforce 1 设置SELinux 成为enforcing模式
【步骤】修改/etc/selinux/config 文件,将SELINUX=enforcing改为SELINUX=disabled,重启机器即可
【注意】 selinux的文件可能位置: /etc/selinux/config 或 /etc/sysconfig/selinux 或其它(通过
whereis selinux
)
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g‘ /etc/sysconfig/selinux
reboot
【升级前】前期多打开1个xshell窗口,并保证连接正常。因为可能出现升级失败。结束后要确定好再关闭。
【升级前】备份sshd_config配置文件(方便后期使用或者方便升级失败使用)
yum list installed | grep -i openssl
或openssl version
yum list installed | grep -i zlib
gcc:因为编译需要gcc
yum list installed | grep -i gcc
openssl-devel:编译时需要
yum list installed | grep -i openssl-devel
为防止openssh升级失败。所以,安装telnet。
保证openssh升级失败后,也可以通过telnet连接服务器,进行恢复操作,而不用去机房。
# rpm -qa | grep -i telnet-server
# rpm -qa | grep -i telnet
# rpm -qa | grep -i xinetd
# yum install -y telnet-server
# yum install -y xinetd
# yum install -y telnet
# systemctl start telnet.socket
# systemctl start xinetd
查看telnet服务是否启动
netstat -antupl | grep 23
建议:开启telnet和xinetd开机自动启动,避免reboot后连不上Telnet
systemctl enable xinetd.service # xinetd开机自启
systemctl enable telnet.socket # 设置telnet开机自启
Windows系统使用Telnet客户端 可参见: win7开启telnet远程服务 - 百度知道
确保使用windows或者其他Linux服务器可以telnet到此机器上,并且可以使用root用户。
telnet 127.0.0.1
或
telnet 127.0.0.1 23
默认情况下,系统是不允许root用户telnet远程登录的,安全原因,具体查阅telnet协议。 (以上截图可见 : root 登录错误)
【一般不建议直接用root用户远程通过telnet登陆系统,因为telnet在数据传输过程采用明文方式,如果数据包一旦被人截获,将会很容易获取root用户的登陆口令;还是建议以普通用户通过telnet远程登陆,然后su到root,这样相对比较安全。如果非要用root用户远程连接,建议采用SSH.】
方法1- 修改login文件:如果想启用root登陆,编辑/etc/pam.d/login文件将auth requisite pam_securetty.so 这行注释掉即可!
方法2 - 修改securetty文件:如果要使用root用户直接登录,需设置如下内容。
方法3 - 具有sudo权限的普通用户(不开启root用户)。可添加一个可以登录的用户,登录并su到root用户。
[方法2]
# echo ‘pts/0‘ >>/etc/securetty
# echo ‘pts/1‘ >>/etc/securetty
# systemctl restart telnet.socket
[方法3] 创建具有sudo权限的普通用户 ---- hello
Step1 下载安装Xshell、Xftp工具
Step2 通过Xshell,远程登陆服务器root用户
Step3 使用检查用户的命令查询当前linux环境是否存在用户 hello
cat /etc/passwd
Step4 若无用户hello,则:创建用户
su
(输入root用户密码)
useradd hello
passwd hello
(输入/设置 hello用户的新密码)
此时 /home目录下会新增一个用户主目录: /home/hello
Step5 授予hello用户sudo权限
chmod ug+rw /etc/sudoers [授予 sudoers文件的读【写】权限]
ll /etc/sudoers [查看有无读写权限]
vi /etc/sudoers
新增一行 "hello ALL=(ALL) ALL" (在"root ALL=(ALL) ALL"行下)
telnet 127.0.0.1
或
telnet 127.0.0.1 23
注:用普通用户测试登陆没问题,那就说明telnet没问题!
Openssh 官网地址:https://www.openssh.com/
OpenSSH 下载地址:https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
选择openssh-7.9p1.tar.gz进行下载,并上传到服务器上/opt/software/openssh-7.9p1.tar.gz
。
# cp -r /etc/ssh /etc/ssh.202010251729.old.bak #备份一些之前的ssh文件
# rpm -qa | grep openssh
openssh-server-7.4p1-21.el7.x86_64
openssh-clients-7.4p1-21.el7.x86_64
openssh-7.4p1-21.el7.x86_64
# rpm -e --nodeps openssh-clients-6.6.1p1-31.el7.x86_64
# rpm -e --nodeps openssh-6.6.1p1-31.el7.x86_64
# rpm -e --nodeps openssh-server-6.6.1p1-31.el7.x86_64
# rpm -qa | grep openssh
如果之前就是源码安装的,找到之前的安装包,在里面执行
# make uninstall
第一个进程是特权进程,并根据需要控制权限的颁发。
第二个进程与网络通信。
设置适当的环境需要额外的安装步骤,这些步骤通过以root用户身份发出以下命令来执行 :
# install -v -m700 -d /var/lib/sshd
# chown -v root:sys /var/lib/sshd
# groupadd -g 50 sshd
# useradd -c ‘sshd PrivSep‘ -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd
cd /opt/software/
# tar -zxvf ./openssh-7.9p1.tar.gz
# cd ./openssh-7.9p1
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd
# make
如果报错
① configure: error: no acceptable C compiler found in $PATH
问题解决:yum install gcc
② configure: error: * zlib.h missing - please install first or check config.log *
问题解决:yum install openssl openssl-devel -y
安装相关依赖包③ Permission denied (publickey,keyboard-interactive)
echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config
./configure 命令解释:
--sysconfdir=/etc/ssh:这可以防止安装配置文件 /usr/etc。
--with-md5-passwords:这使得可以使用MD5密码。
--with-pam:此参数在构建中启用 Linux-PAM支持。
--with-xauth=/usr/bin/xauth:为X身份验证设置xauth二进制文件的默认位置。如果将xauth安装到其他路径,请更改位置。这也可以sshd_config使用XAuthLocation关键字进行控制。如果已安装Xorg,则可以省略此开关。
--with-kerberos5=/usr:此选项用于在构建中包含Kerberos 5支持。
--with-libedit:此选项为sftp启用行编辑和历史记录功能。
3 修改相应文件权限
# ll /etc/ssh/ssh_host_rsa_key
# chmod 600 /etc/ssh/ssh_host_rsa_key
# chmod 600 /etc/ssh/ssh_host_ecdsa_key
# chmod 600 /etc/ssh/ssh_host_ed25519_key
4 安装
# make install
# install -v -m755 contrib/ssh-copy-id /usr/bin
# install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1
# install -v -m755 -d /usr/share/doc/openssh-7.9p1
# install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.9p1
6 根据自身需求改写配置文件。
因为配置文件为初始配置文件。所以和之前的不一样。可以使用备份配置文件覆盖。
注意:默认是22端口,但不能root直接登录。如果想直接使用root登录执行以下命令
# echo ‘X11Forwarding yes‘ >> /etc/ssh/sshd_config
# echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
# echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config
ssh服务必须开机自启动,不然重启时,原地爆炸。
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# chmod +x /etc/init.d/sshd
# chkconfig --add sshd
# chkconfig sshd on
# chkconfig --list sshd
# systemctl restart sshd
# ssh -V
OpenSSH_7.9p1, OpenSSL 1.0.2k-fips 26 Jan 2017
使用其他电脑或者其他的xshell等工具连接,验证要谨慎。
如果之前是rpm包安装的。并且按照以上步骤操作,可以直接以下命令进行回滚
# yum -y install openssh-clients
# yum -y install openssh-server
# yum -y install openssh
之前的步骤一定要谨慎查看。查看是否可以连接,会不会出现什么问题。
1、 恢复telnet的禁止root登录特权。如果之前关闭就关闭telnet。
2、 开启防火墙,并验证连接。
3、 最后再关闭之前开xshell界面。
[网络/Linux]CentOS7:OpenSSH升级到7.9p1
标签:远程登陆 原因 目标 sudo linux服务 host sudoers Fix from
原文地址:https://www.cnblogs.com/johnnyzen/p/13876134.html