OpenSSH 업그레이드 - Ubuntu 16.04

CVE 취약점 조치 일환이다.
OpenSSL도 같이 올려줘야 한다.
가급적 최신 것으로 올린다.
민감한 서비스가 실행되고 있으면 업그레이드에 신중을 기한다.​

 

【현재 버전 확인】

cat /etc/issue
openssl version
ssh -V

 

【OpenSSL】

OpenSSL을 먼저한다.
만약에 OpenSSL패키지를 삭제하고 진행하려는 경우 디펜던시들까지 제거되지 않도록 한다.
즉,
sudo apt-get --purge autoremove openssl
또는,
sudo dpkg --force-depends --purge openssl
명령을 쓰지 않는다.
sudo apt-get remove openssl 으로 OpenSSL만 제거한다.

 

sudo apt-get update
sudo apt-get install build-essential zlib1g-dev libssl-dev -y
sudo apt-get install libpam0g-dev libselinux1-dev libkrb5-dev -y
wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.1t.tar.gz
tar -xzvf openssl-1.1.1t.tar.gz
cd openssl-1.1.1t
./config
make
sudo make install
sudo ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.so
sudo ln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.so
sudo ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.so.1.1
sudo ln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.so.1.1
sudo mv /usr/bin/openssl /usr/bin/openssl_bak
sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
openssl version
cd ..

 

【OpenSSH】

sudo mkdir /var/lib/sshd
sudo chmod -R 700 /var/lib/sshd/
sudo chown -R root:sys /var/lib/sshd/
wget --no-check-certificate https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.2p1.tar.gz
tar -xzvf openssh-9.2p1.tar.gz
cd openssh-9.2p1/
./configure --with-ssl-dir=/usr/local/lib --with-kerberos5 --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh
make
sudo make install

 

【확인】

재부팅 후 확인 *SSH 서비스 재시작은 들지 않는다.
sudo reboot
ssh -V