近日，國家信息安全漏洞共享平臺（CNVD）收錄了OpenSSH的多個漏洞（CNVD-2016-12688、CNVD-2016-12687、CNVD-2016-12686、CNVD-2016-12684，對應CVE-2016-10009、CVE-2016-10010、CVE-2016-10011、CVE-2016-10012）。綜合利用上述漏洞，攻擊者可執行任意代碼，提升權限至root權限，獲取本地敏感信息泄露，繞過某些安全限制執行未經授權的操作。

目前廠商已經發布了升級補丁以修復這個安全問題，請到廠商的主頁下載：

官方網址為 https://www.openssh.com/

官方目前的最新版本為openssh-7.5p1

1. 在Centos6下安裝

Centos6下的安裝比較簡單，直接yum安裝依賴包

yum install gcc zlib-devel openssl openssl-devel wget

把老版本的ssh相關文件備份一下：

cp /etc/ssh/{sshd_config,sshd_config.bak}

cp /usr/sbin/{sshd,sshd.bak}

cp /usr/bin/{ssh,ssh.bak}

cp ~/.ssh/{authorized_keys,authorized_keys.bak}

下載openssh-7.5p1

cd /usr/local/src

wget https://mirrors.syringanetworks.net/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz

解壓

tar zxvf openssh-7.5p1.tar.gz

cd openssh-7.5p1

編譯安裝

./configure --sbindir=/usr/sbin/ --bindir=/usr/bin/ --sysconfdir=/etc/ssh/

make && make install

vi /etc/ssh/sshd_config

找到

#PermitRootLogin yes

修改為

PermitRootLogin yes

這裏不修改root用戶無法登陸，保存後重啟sshd

/etc/init.d/sshd restart

當前連接的ssh在測試未完成前千萬不要中斷，打開另一個終端進行測試，否則一但安裝有問題就連不上了。

2. 在Centos5下安裝

centos5下安裝openssh前需先安裝openssl：

先下載openssl

cd /usr/local/src

wget https://www.openssl.org/source/openssl-1.0.2l.tar.gz

解壓

tar zxvf openssl-1.0.2l.tar.gz

cd openssl-1.0.2l

編譯安裝，這裏使用共享編譯，防止openssh編譯時找不到庫文件

./config --prefix=/usr/local/ssl --shared

make && make install

為防止出現：error: OpenSSL version header not found.

執行下面操作：

vi /etc/ld.so.conf

增加下面這行

/usr/local/ssl/lib

保存後執行

ldconfig

接下來編譯安裝openssh，步驟和上面Centos6中的操作一樣。

3. 安裝完畢進行測試：

[[email protected] ~]# ssh -V

OpenSSH_7.5p1, OpenSSL 1.0.2l 25 May 2017

在客戶端用xhell登陸

以上顯示OpenSSH_7.5p1已經升級成功。

本文出自 “woymk” 博客，請務必保留此出處http://woymk.blog.51cto.com/10000269/1956463

Centos6/Centos5下openssh升級到openssh-7.5p1