注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

红烧鱼

linux & windows management

 
 
 

日志

 
 
关于我
mac

专注IT基础架构设计与运维。 欢迎给我留言,或邮件沟通zjwsk@163.com

网易考拉推荐

使用最新openssl 1.0.1h 编译安装 openssh 6.6p1  

2014-04-13 23:03:26|  分类: Linux |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
openssh从6.5版本开始,使用openssl 源码编译的时候,必须使用动态库(在openssh 6.4之前的版本中没这种情况);一直没找到具体的说明,但是经过无数次编译尝试,终于验证这种事实。

安装openssl时候加上,使用--shared 参数建立共享库文件,否则在编译openssh过程中会报错;报错类型根据不同的安装习惯,可能有多种
1.) configure: error: *** Can't find recent OpenSSL libcrypto (see config.log for details) ***
2.) OpenSSL version mismatch. 
3.) checking OpenSSL header version... not found


具体安装过程如下:

1. 下载最新软件包源码
http://ftp5.usa.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.6p1.tar.gz
http://www.openssl.org/source/openssl-1.0.1h.tar.gz
http://www.openssl.org/source/openssl-fips-2.0.5.tar.gz

2. 使用YUM安装必要的软件开发包

# yum install -y zlib-devel pam-devel tcp_wrappers-devel


3. 安装openssl-fips,此为FIPS 140-2 support module for openssl, 具体说明参见http://www.openssl.org/docs/fips 
# tar zxpf openssl-fips-2.0.5.tar.gz
# cd openssl-fips
# ./config
# make && make install

4. 安装OpenSSL
# tar zxpf openssl-1.0.1h.tar.gz
# cd openssl-1.0.1h
# ./config fips --shared
# make && make install 

5. 将新编译的openssl library 加入系统动态库链接中
# echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
# ldconfig
update :如果在第4步openssl 编译过程中,将其设定为OS默认安装目录(--prefix=/usr),那么此步骤无需执行!


6. 安装OpenSSH
# tar zxpf openssh-6.6p1.tar.gz
# cd openssh-6.6p1
# ./configure \
  --prefix=/usr \
  --sysconfdir=/etc/ssh \
  --with-md5-passwords \
  --with-pam \
  --with-tcp-wrappers \
  --with-ssl-dir=/usr/local/ssl
# make && make install

!!! 另一种处理方案是, 在编译openssh的时候,使用--without-hardening参数。 此动作,将改变openssh编译时候gcc参数,关闭 fPIE。个人认为此方案仅是种解决问题的方法,不是最优。

期待openssh 官方提供根本解决方案。

具体到上述安装步骤的改变为:

步骤4,去掉--shared 参数,等同于使用默认值
# ./config fips 
# make && make install 
步骤5,取消

步骤6,更新如下
# ./configure \
  --prefix=/usr \
  --sysconfdir=/etc/ssh \
  --with-md5-passwords \
  --with-pam \
  --with-tcp-wrappers \
  --with-ssl-dir=/usr/local/ssl \
  --without-hardening
# make && make install 

对最近OpenSSL的频繁爆漏洞,比较无奈。。。
OpenSSL修复潜伏16年“中间人”漏洞

--- 2015更新
openssh 6.9 版本,對默認的Cipher,KexAlgorithms有更新; 很多舊版本的已經不支持。包括Xshell 2.0, 3.0版本的工具都可能不能用, 所以需要升級客戶端; 或者在/etc/ssh/sshd_config 中指定Cipher,
KexAlgorithms。 詳細參數,可以對比新舊版說明文件(man sshd_config)

另外, 有關openssh 安全方面的設定,可參考這篇大作:https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf
  评论这张
 
阅读(15784)| 评论(3)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017