хранилища CentOS е доста стар версия на OpenSSH, и не бърза да го актуализира. Може би в това и е налице тежка нужда, но защо не, след като той OpenSSH е разработена и актуализирана? Колкото повече, че гражданите се оплакват, че старата система не минава одита на SSH сигурност. Така че, ние поставяме!
И сега казвам ви стъпка по стъпка как да се актуализира OpenSSH, като се избягват капаните и попълване конуси. Всички следващи тестван на Dev "извън кутията" от SimpleCloud или vScale. и работи на сървъра, който го хоства.
Тя се основава на HowTo, както е посочено тук. но да работят с източници - толкова повече хемороиди, така че аз се опрости задачата, събиране RPMy за Centos7 и ги поставя в хранилище. Към момента на написването на тази 7.5p1, и смятам да добавите пакети като поява на нови версии.
Така че, е необходимо да се започне с резервна система. Вярвам, че винаги ще го направи, но никога не се знае! В допълнение, непосредствено преди монтажа, аз силно препоръчваме да се съхраняват отделно в работната директория са два файла:
- Конфигурация на SSHD - / и т.н. / SSH / sshd_config
- Пам конфигурация за SSHD - /etc/pam.d/sshd
В допълнение, отделна предупреждение: това е вероятно, че Sshd веднага след инсталиране на "главата" не работи правилно, поне аз никога не беше такъв!
Ето защо, не покриват SSH-конзола, с които можете да направите всичко, манипулацията и не претоварвайте сървъра към момента, уверете се, че новата версия на SSHD работи правилно, вие никога няма да влезе в сървъра друга конзола по обичайния начин и не се получи обичайната корен конзола по същия начин! Независимо от всякакви рестартира Sshd текущата сесия се съхранява, а ако нещо се обърка, нещо ново, вие няма да можете да инсталирате и започнете да танцува с дайре.
Всички отбори ще продължат да функционират като корен или чрез Sudo.
Така че, ние трябва да се свържете хранилището, копирате файла с метаданни:
Wget -Р /etc/yum.repos.d/ repo.pavlyuts.ru/pavlyuts.repo
Сега, моето хранилище е свързан с вашата система. И актуализиране на пакета:
Yum ъпгрейд OpenSSH *
Yum ще ни покаже три надстройва пакети и поиска потвърждение. Издишайте и утвърди. Тя ще изглежда, че всичко, но не всичко е толкова просто! Ето защо, преди да се прави на рестарт Sshd (systemctl рестартиране SSHD), имат какво да покажат и правилно, като за начало ...
капани
конфигурация на SSHD
Фактът, че актуализацията може да се презапише sshd_config, и не може да бъде заменена. Определяне на това е просто - ако старата конфигурация се запазва, а в следващия в каталога появява sshd_config.rpmnew файл. Ако не, тогава най-вероятно конфигурация презаписан и да стане "за неизпълнение на задълженията." И в двата случая, предлагам, базирани на новата конфигурация по подразбиране, трябва да зададете желаните параметри, справяне със старото, особено след като има опция за наследство.
Да предположим, че конфигурацията сме направили правилно, но е твърде рано да се радваме.
Точно на ключовете
ключове сървър го изисква корен собственост и разрешения 0600. Ако правата на другите - ключът не е зареден! На една от снимките на балотажа бях изправени пред факта, че правата са по-широки по три от четирите предварително зададени клавиши, в резултат на демона не дава съобщение за грешка по време на рестарта, и "лоши" ключовете не са заредени, и пише за него в журнални съобщения:
Localhost Sshd: Разрешения за 0640 "/ и т.н. / SSH / ssh_host_rsa_key" са твърде отворени.
Localhost SSHD: Не може да се зареди ключ домакин: / и т.н. / SSH / ssh_host_rsa_key
Сесиите не нарастват, тъй като частният ключ на RSA не присъства! За да не се натъкнете на мината - това е по-лесно просто да се изпълни една команда:
коригират-V 0600 / и т.н. / SSH / ssh_host _ * _ ключ
Това е или коригира ситуацията, или просто не се прави нищо, а резултатът ще стане ясно от доклада си.
Localhost SSHD [4503]: Authentication отказа: лошо собственост или режими за файлови /home/%user%/.ssh/authorized_keys
В този случай, няма значение дали SSHD да прочете ключа. Обработени по този начин разбираемо: /.ssh/authorized_keys Собственикът трябва да бъдат точно потребителя, чийто дом е директория, както и правата върху него трябва да са не повече от 0644. Има подозрения, че тя по-рано проверени и нищо ново в тази версия, но тя трябва да имаме предвид, се натъкнах на това в хода на експериментите си.
Трудности с PAM
PAM механизъм изобщо трудно за мен, мистериозен, добре, аз не се позиционира като труден професионалист. Аз вярвам, че ако се обърнат към използването на PAM SSHD, тогава ще знаете точно какво правите.
Мога да кажа само, че когато инсталирате пакет премахва /etc/pam.d/sshd и пише новата на нейно място, със следното съдържание:
Localhost SSHD [2111]: PAM добавяне дефектен модул: /usr/lib64/security/pam_stack.so
Localhost Sshd [2115]: PAM състояние да dlopen (/usr/lib64/security/pam_stack.so): /usr/lib64/security/pam_stack.so: не може да отвори файл за споделен обект: Няма такъв файл или директория
Google знае всичко, и разтворът е установено, че е много проста. Където и в /etc/pam.d/sshd са:
изисква pam_stack.so обслужване = система удостоверяване е
Тя трябва да бъде:
включват система удостоверяване
И всичко започва да работи! За да бъде абсолютно ясно, /etc/pam.d/sshd трябва да изглежда така:
Потребители без парола
Localhost Sshd [2073]: Потребителят% потребителското% не е позволено, тъй като профилът е заключена
С него също така е в състояние да разберат. Оказа се, че при създаването на потребителски useradd командване без парола и / и т.н. / сянка са тук този вид линия, като тест за употреба:
На мястото, където трябва да има хеш на паролата - две удивителни знаци. Въпреки това, когато въвеждате парола от конзола един удивителен знак означава, че паролата на потребителя е блокиран и двамата - че е заключен от потребителя. Отключване на потребителя чрез редовни средства не го искат паролата - това е невъзможно. А SSHD не позволява "блокиран отдалечено влизане на потребителите.
Този проблем се третира по един от следните три начина:
И тук е до финала!
Така че, от всичко, което знам, pozvodnyh камъни, аз се опитах да те задържа, но това не означава, че няма друг! Въпреки това, аз се надявам, че не сте успели да намерите нови предизвикателства и да се справят с известни.
Най-важното нещо - след "довършителни" рестартиране SSHD внимателно да проверяват, че можете да влезете от друг терминал обичайния начин, всичко работи както трябва, и най-важното, да има достъп до корена.
Послепис Последният вариант, ако всичко друго се провали, и да се възстанови от резервно копие не иска да - можете да отмените промените:
Yum понижаване OpenSSH *
Конфигурационни файлове, трябва да бъдат възстановени от мястото, където сме запазили своята домакинство в началото. След рестартирането SSHD се върнем в началната точка. Но дори и след това - разходи без да затвори конзолата, проверете дали всичко работи както трябва.
И не забравяйте да премахнете намаление на цените в случай линк към моя хранилище, или на следващия системата се актуализира най-новата версия на SSH отново се утвърждава:
RM-F /etc/yum.repos.d/pavlyuts.repo
Свързани статии