Автор Тема: CentOS6 обновление OpenSSH 5,6 до версии 7  (Прочитано 1209 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 240
  • Karma: +43/-0
  • Пол: Мужской
  • https://iptest.kz
    • Share Post
    • iptest.kz
CentOS6 обновление OpenSSH 5,6 до версии 7
« : Октябрь 26, 2017, 04:53:22 pm »
Несколько месяцев назад, я публиковал статью, как произвести обновление OpenSSH версии 5 до версии 6: https://forum.sys-adm.in/index.php?topic=5183.msg23934#msg23934

Позже один участник форума опубликовал статью о попытке произвести обновление пакетов до версии 7.5: https://forum.sys-adm.in/index.php?topic=5176.0

Первая попытка установки на тестовом сервере прошла успешно, однако к всеобщему удивлению меня и моих коллег, мы потеряли доступ по SSH после перезагрузки сервера. Причиной этому послужил запустившийся SELINUX, я не сторонних отключения SELINUX и решил разобраться в чём проблема. В результате публикую данную статью по правильной установке и настройке OpenSSH v.7.5 в ОС CentOS 6.*

В моём примере используется ОС CentOS 6.9 с OpenSSH v.5.3p1.

1) Скачиваем пакеты:
wget https://github.com/JESWINKNINAN/upgrade-openssh-7.5p1-centos/raw/master/openssh-7.5p1-1.x86_64.rpmwget https://github.com/JESWINKNINAN/upgrade-openssh-7.5p1-centos/raw/master/openssh-clients-7.5p1-1.x86_64.rpmwget https://github.com/JESWINKNINAN/upgrade-openssh-7.5p1-centos/raw/master/openssh-server-7.5p1-1.x86_64.rpm
2) Перед установкой нужно убедится, что в системе отсуствует пакет openssh-askpass данный пакет в целом не влияет на работу SSH-Server поэтому его можно смело удалить. Если его не удалять возникнет проблема в поиске зависимостей.

yum remove openssh-askpass -y
3) Устанавливаем пакеты:
yum localinstall openssh-*
4) Конфигурационный файл /etc/ssh/sshd_config можно не менять, главное убедиться, что настроен следующий параметр:
UsePAM yes
5) Самое важное, вносим внесение изменений в файл: /etc/pam.d/sshd и приводим к такому виду:
  #%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
## pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth

6) Перезапускаем сервис:
service sshd restart

Однако в некторых случаях после перезапуска можно встретить ошибки: "Deprecated option" (устаревшии опции), данные опции нужно просто будет удалить из файла sshd_config.

На этом всё, остаётся только перепроверить.
« Последнее редактирование: Октябрь 28, 2017, 09:16:09 am от Deonis »

 

Оффлайн voker2005

  • Юзер
  • *
  • Сообщений: 38
  • Karma: +2/-0
  • Пол: Мужской
    • Share Post
Re: CentOS6 обновление OpenSSH 5,6 до версии 7
« Ответ #1 : Ноябрь 12, 2017, 05:39:27 am »
Безопасность, безопасность.
Единственное что смущает то что качаем не официальный образ, а чей-то с https://github.com/

И дата 11 Feb 2013:
[[email protected] ~]# sshd -v
unknown option -- v
OpenSSH_7.5p1, OpenSSL 1.0.1e-fips 11 Feb 2013
usage: sshd [-46DdeiqTt] [-C connection_spec] [-c host_cert_file]
            [-E log_file] [-f config_file] [-g login_grace_time]
            [-h host_key_file] [-o option] [-p port] [-u len]

Например в Centos 7 1708 встроен 7.4p1 и дата 26 Jan 2017

[[email protected] ~]# sshd -v
unknown option -- v
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
usage: sshd [-46DdeiqTt] [-C connection_spec] [-c host_cert_file]
            [-E log_file] [-f config_file] [-g login_grace_time]
            [-h host_key_file] [-o option] [-p port] [-u len]
[[email protected] ~]# ssh -v
usage: ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-E log_file] [-e escape_char]
           [-F configfile] [-I pkcs11] [-i identity_file]
           [-J [[email protected]]host[:port]] [-L address] [-l login_name] [-m mac_spec]
           [-O ctl_cmd] [-o option] [-p port] [-Q query_option] [-R address]
           [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]]
           [[email protected]]hostname [command]

Просто по дате и по источнику, на системе (особенно если это продакшн) думаю лучше юзать 7.4p1 на сегодняшний день. Почему то нет 100% доверия, так как ничего не знаем о источнике, нет гарантий что он не то что с вредоносным кодом, а то что он может быть с дырками\уязвимостями и недоработками от 2013-го года.

А так спасибо.

Кстати уже 7.6 появилась http://www.openssh.com/releasenotes.html
но пока не пробовал разобраться, есть ли возможность обновиться на линуксах.

Но увы, у нас так и нет свежего и надежного SSH для cтарых версий Linux.
« Последнее редактирование: Ноябрь 12, 2017, 09:12:31 am от voker2005 »
Если нравятся мои посты и они кажутся Вам полезными, кликните +1 к карме под моим ником :)

Оффлайн Leport

  • Юзер
  • *
  • Сообщений: 2
  • Karma: +0/-0
    • Share Post
Re: CentOS6 обновление OpenSSH 5,6 до версии 7
« Ответ #2 : Апрель 17, 2018, 06:27:33 pm »
Доброе время суток.
У меня при обновлении стал ругаться на зависимости.
[[email protected] tmp]# yum localinstall openssh-*
Загружены модули: security, ulninfo
Подготовка действий с локальным пакетом
Проверка openssh-7.5p1-1.x86_64.rpm: openssh-7.5p1-1.x86_64
openssh-7.5p1-1.x86_64.rpm отмечен как обновление для openssh-5.3p1-123.el6_9.x86_64
Проверка openssh-clients-7.5p1-1.x86_64.rpm: openssh-clients-7.5p1-1.x86_64
openssh-clients-7.5p1-1.x86_64.rpm отмечен как обновление для openssh-clients-5.3p1-123.el6_9.x86_64
Проверка openssh-server-7.5p1-1.x86_64.rpm: openssh-server-7.5p1-1.x86_64
openssh-server-7.5p1-1.x86_64.rpm отмечен как обновление для openssh-server-5.3p1-123.el6_9.x86_64
Разрешение зависимостей
--> Проверка сценария
---> Package openssh.x86_64 0:5.3p1-123.el6_9 will be для обновления
---> Package openssh.x86_64 0:7.5p1-1 will be an update
--> Обработка зависимостей: libc.so.6(GLIBC_2.14)(64bit) для пакета: openssh-7.5p1-1.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.17)(64bit) для пакета: openssh-7.5p1-1.x86_64
---> Package openssh-clients.x86_64 0:5.3p1-123.el6_9 will be для обновления
---> Package openssh-clients.x86_64 0:7.5p1-1 will be an update
--> Обработка зависимостей: libc.so.6(GLIBC_2.14)(64bit) для пакета: openssh-clients-7.5p1-1.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.15)(64bit) для пакета: openssh-clients-7.5p1-1.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.17)(64bit) для пакета: openssh-clients-7.5p1-1.x86_64
---> Package openssh-server.x86_64 0:5.3p1-123.el6_9 will be для обновления
---> Package openssh-server.x86_64 0:7.5p1-1 will be an update
--> Обработка зависимостей: libc.so.6(GLIBC_2.14)(64bit) для пакета: openssh-server-7.5p1-1.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.16)(64bit) для пакета: openssh-server-7.5p1-1.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.17)(64bit) для пакета: openssh-server-7.5p1-1.x86_64
--> Проверка зависимостей окончена
Ошибка: Пакет: openssh-clients-7.5p1-1.x86_64 (/openssh-clients-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.17)(64bit)
Ошибка: Пакет: openssh-7.5p1-1.x86_64 (/openssh-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.14)(64bit)
Ошибка: Пакет: openssh-clients-7.5p1-1.x86_64 (/openssh-clients-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.14)(64bit)
Ошибка: Пакет: openssh-7.5p1-1.x86_64 (/openssh-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.17)(64bit)
Ошибка: Пакет: openssh-server-7.5p1-1.x86_64 (/openssh-server-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.16)(64bit)
Ошибка: Пакет: openssh-clients-7.5p1-1.x86_64 (/openssh-clients-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.15)(64bit)
Ошибка: Пакет: openssh-server-7.5p1-1.x86_64 (/openssh-server-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.17)(64bit)
Ошибка: Пакет: openssh-server-7.5p1-1.x86_64 (/openssh-server-7.5p1-1.x86_64)
            Необходимо: libc.so.6(GLIBC_2.14)(64bit)
 Вы можете попробовать --skip-broken чтобы обойти проблему
 Вы можете попробовать запустить: rpm -Va --nofiles --nodigest

При установке glibc-2.17-196.el7.x86_64.rpm просит обновить glibc-common
[[email protected] tmp]# yum localinstall glibc-2.17-196.el7.x86_64.rpm
Загружены модули: security, ulninfo
Подготовка действий с локальным пакетом
Проверка glibc-2.17-196.el7.x86_64.rpm: glibc-2.17-196.el7.x86_64
glibc-2.17-196.el7.x86_64.rpm отмечен как обновление для glibc-2.12-1.209.0.3.el6_9.2.x86_64
glibc-2.17-196.el7.x86_64.rpm отмечен как обновление для glibc-2.12-1.209.0.3.el6_9.2.i686
Разрешение зависимостей
--> Проверка сценария
---> Package glibc.x86_64 0:2.12-1.209.0.3.el6_9.2 will be для обновления
---> Package glibc.x86_64 0:2.17-196.el7 will be an update
--> Обработка зависимостей: glibc-common = 2.17-196.el7 для пакета: glibc-2.17-196.el7.x86_64
--> Проверка зависимостей окончена
Ошибка: Пакет: glibc-2.17-196.el7.x86_64 (/glibc-2.17-196.el7.x86_64)
            Необходимо: glibc-common = 2.17-196.el7
            Установлено: glibc-common-2.12-1.209.0.3.el6_9.2.x86_64 (@public_ol6_latest)
                glibc-common = 2.12-1.209.0.3.el6_9.2
            Доступно: glibc-common-2.12-1.7.el6.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.7.el6
            Доступно: glibc-common-2.12-1.7.el6_0.3.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.7.el6_0.3
            Доступно: glibc-common-2.12-1.7.el6_0.4.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.7.el6_0.4
            Доступно: glibc-common-2.12-1.7.el6_0.5.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.7.el6_0.5
            Доступно: glibc-common-2.12-1.25.el6.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.25.el6
            Доступно: glibc-common-2.12-1.25.el6_1.3.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.25.el6_1.3

При установке отдельного пакета glibc-common-2.17
[[email protected] tmp]# yum localinstall glibc-common-2.17-196.el7_4.2.x86_64.rpm
Загружены модули: security, ulninfo
Подготовка действий с локальным пакетом
Проверка glibc-common-2.17-196.el7_4.2.x86_64.rpm: glibc-common-2.17-196.el7_4.2.x86_64
glibc-common-2.17-196.el7_4.2.x86_64.rpm отмечен как обновление для glibc-common-2.12-1.209.0.3.el6_9.2.x86_64
Разрешение зависимостей
--> Проверка сценария
---> Package glibc-common.x86_64 0:2.12-1.209.0.3.el6_9.2 will be для обновления
--> Обработка зависимостей: glibc-common = 2.12-1.209.0.3.el6_9.2 для пакета: glibc-2.12-1.209.0.3.el6_9.2.x86_64
--> Обработка зависимостей: glibc-common = 2.12-1.209.0.3.el6_9.2 для пакета: glibc-2.12-1.209.0.3.el6_9.2.i686
---> Package glibc-common.x86_64 0:2.17-196.el7_4.2 will be an update
--> Обработка зависимостей: glibc = 2.17-196.el7_4.2 для пакета: glibc-common-2.17-196.el7_4.2.x86_64
--> Обработка зависимостей: /usr/bin/bash для пакета: glibc-common-2.17-196.el7_4.2.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.14)(64bit) для пакета: glibc-common-2.17-196.el7_4.2.x86_64
--> Обработка зависимостей: libc.so.6(GLIBC_2.15)(64bit) для пакета: glibc-common-2.17-196.el7_4.2.x86_64
--> Обработка зависимостей: /usr/bin/bash для пакета: glibc-common-2.17-196.el7_4.2.x86_64
--> Проверка зависимостей окончена
Ошибка: Пакет: glibc-common-2.17-196.el7_4.2.x86_64 (/glibc-common-2.17-196.el7_4.2.x86_64)
            Необходимо: /usr/bin/bash
Ошибка: Пакет: glibc-common-2.17-196.el7_4.2.x86_64 (/glibc-common-2.17-196.el7_4.2.x86_64)
            Необходимо: glibc = 2.17-196.el7_4.2
            Установлено: glibc-2.12-1.209.0.3.el6_9.2.i686 (@public_ol6_latest)
                glibc = 2.12-1.209.0.3.el6_9.2

[[email protected] tmp]# yum localinstall glibc-2.17-196.el7.x86_64.rpm
Загружены модули: security, ulninfo
Подготовка действий с локальным пакетом
Проверка glibc-2.17-196.el7.x86_64.rpm: glibc-2.17-196.el7.x86_64
glibc-2.17-196.el7.x86_64.rpm отмечен как обновление для glibc-2.12-1.209.0.3.el6_9.2.x86_64
glibc-2.17-196.el7.x86_64.rpm отмечен как обновление для glibc-2.12-1.209.0.3.el6_9.2.i686
Разрешение зависимостей
--> Проверка сценария
---> Package glibc.x86_64 0:2.12-1.209.0.3.el6_9.2 will be для обновления
---> Package glibc.x86_64 0:2.17-196.el7 will be an update
--> Обработка зависимостей: glibc-common = 2.17-196.el7 для пакета: glibc-2.17-196.el7.x86_64
--> Проверка зависимостей окончена
Ошибка: Пакет: glibc-2.17-196.el7.x86_64 (/glibc-2.17-196.el7.x86_64)
            Необходимо: glibc-common = 2.17-196.el7
            Установлено: glibc-common-2.12-1.209.0.3.el6_9.2.x86_64 (@public_ol6_latest)
                glibc-common = 2.12-1.209.0.3.el6_9.2
            Доступно: glibc-common-2.12-1.7.el6.x86_64 (public_ol6_latest)
                glibc-common = 2.12-1.7.el6

« Последнее редактирование: Апрель 23, 2018, 03:01:19 pm от sysadmin »

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 240
  • Karma: +43/-0
  • Пол: Мужской
  • https://iptest.kz
    • Share Post
    • iptest.kz
Re: CentOS6 обновление OpenSSH 5,6 до версии 7
« Ответ #3 : Апрель 20, 2018, 02:54:15 pm »
Leport проблема в том, что у тебя используется не CentOS под который собирались эти пакеты openssh, а похоже используется Oracle Linux 6, хоть он и построен на базе одного про родителя RedHat, но есть мелкие отличия.

glibc завязан со многими пакетами в системе и менять его в твоём случае не самый лучший вариант, лучше тебе подыскать другую сборку ssh, либо подключить официальные репозитории CentOS, чтобы упростить задачу с зависимостями.

Оффлайн Leport

  • Юзер
  • *
  • Сообщений: 2
  • Karma: +0/-0
    • Share Post
Re: CentOS6 обновление OpenSSH 5,6 до версии 7
« Ответ #4 : Апрель 23, 2018, 12:28:54 pm »
Все верно, используется "Oracle Linux Server 6.9" (Red Hat Enterprise Linux Server release 6.9 (Santiago)).
Пробовал ставить версии 7.4-7.6 с архивов через компиляцию-отваливался доступ по ssh. При всем при этом доходит до запроса логина и пароля, после ввода пароля выдает access denide, файл конфигов не менял. Поэтому решил пакетами ставить.
« Последнее редактирование: Апрель 23, 2018, 01:31:04 pm от Leport »


xx
CentOS6 обновление OpenSSH 5 до версии 6

Автор Deonis

0 Ответов
602 Просмотров
Последний ответ Февраль 08, 2017, 10:05:26 am
от Deonis
exclamation
Уязвимость в OpenSSH

Автор Deonis

6 Ответов
1359 Просмотров
Последний ответ Октябрь 26, 2017, 04:55:49 pm
от Deonis
xx
Ошибка - You need to install openssh-askpass or similar to connect to this host.

Автор sysadmin

1 Ответов
2798 Просмотров
Последний ответ Август 25, 2014, 04:09:36 pm
от sysadmin
xx
уязвимость NOD32 ESS версии 4x

Автор NasOrda

9 Ответов
4374 Просмотров
Последний ответ Март 11, 2011, 11:20:07 am
от NasOrda