一、简介

现在很多地方要求做等保，而等保扫描很多其实都是“走走样子”，因为很多漏洞扫描并非使用类攻击脚本探测漏洞，而是简单的探测出相关服务的“版本号”，然后根据版本号查询相关服务的漏洞库，输出一堆漏洞信息，漏洞的准确性根本不管，反正你就得修复。

这其中最尤为常见的就是openssh以及openssl相关的漏洞。

其实升级openssh并不复杂，但是有一定的风险，需要配置telnet或者启动另一个sshd作为备用链接方式。但是有时候我们维护的设备所处的网络环境是处于特定的网络环境中的，比如堡垒机后面的，甚至有些客户指定的云服务商的网络环境更是奇葩，导致无法下手升级openssh。甚至有的只有centos7，连切到高版本的系统都不行。

出于多种原因吧（可能你的遇到的原因比我的更奇葩），所以，这里记录下如何直接修改openssh和openssl版本号来应对这些形式主义的等保漏洞扫描。

之后我也会记录openssh真实的升级笔记，供大家参考。

二、测试环境

• centos7

三、修改ssh、sshd版本

这里记录了ssh、sshd版本号的修改，如果你进需要修改sshd，那么可以不关注ssh的修改。

• sshd 是openssh的服务端
• ssh 是openssh的客户端
• 那些等保漏洞扫描大多数关注的只是sshd

3.1、查看当前SSH版本号

# 查看ssh的版本号
strings /usr/bin/ssh |grep OpenSSH
# 查看sshd的版本号
strings /usr/sbin/sshd |grep OpenSSH

ssh -V
sshd -V

3.2、备份

# 备份文件的名字自己随便定义，下面是我自己的习惯
cp /usr/bin/ssh /usr/bin/ssh-bak-`date +%F`-OpenSSH_7.4
cp /usr/sbin/sshd /usr/sbin/sshd-bak-`date +%F`-OpenSSH_7.4

3.3、更改版本号

注意：执行命令前，要看你当前 sshd 的实际版本号，以及真实的最新 sshd 版本号

openssh下载地址：
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

# 不要直接执行，根据实际版本号修改后再执行！
sed -i 's/OpenSSH_7.4/OpenSSH_9.9/g' /usr/bin/ssh
sed -i 's/OpenSSH_7.4/OpenSSH_9.9/g' /usr/sbin/sshd

3.4、验证版本号

strings /usr/bin/ssh |grep OpenSSH
ssh -V

strings /usr/sbin/sshd |grep OpenSSH
sshd -V

四、修改OpenSSL版本号

4.1、查看OpenSSL的依赖库

修改OpenSSL版本是需要找到其对应的依赖库，然后通过修改依赖库的版本号来达到修改OpenSSL版本。

ldd /usr/bin/openssl | grep libcrypto.so

通过上述执行的结果确认OpenSSL版本的依赖目录是 /lib64/ 对应的名称是 libcrypto.so.10

所以只要修改libcrypto.so.10这个库文件的版本号就可以达到修改OpenSSL版本号的效果。

但是通过查询libcrypto.so.10只是个软连接，真实的库文件是libcrypto.so.1.0.2k，如下图：

ll /lib64/libcrypto.so.10

4.2、备份

开始执行修改版本号之前备份原始库文件

# 注意，要备份真实的库文件，而不是刚开始查询到的软连接，别备份错了。
cp /lib64/libcrypto.so.1.0.2k /lib64/libcrypto.so.1.0.2k-bak-`date +%F`

4.3、查看openssl的版本

查看OpenSSL依赖库中显示版本信息的原始内容，这个很重要。

# 因为上面根据查询的真实库文件的名称，所以我这里grep 过滤的是1.0.2，
# 你要根据你的真实环境进行调整。
strings /lib64/libcrypto.so.1.0.2k |grep 1.0.2

上图中：OpenSSL 1.0.2k-fips 26 Jan 2017就是我们真实openssl的版本号了。

4.4、修改openssl版本号

要根据你真是的情况修改下面的命令，切勿直接复制粘贴执行。

• OpenSSL 1.0.2k-fips 26 Jan 2017 ：这里是我的真实的openssl版本号
• OpenSSL 1.1.1w FIPS 11 Sep 2023： 这是我模拟的虚假openssl版本号
• /lib64/libcrypto.so.1.0.2k ：这是我真是的库文件地址
• openssl历史版本查看：https://openssl-library.org/source/old/index.html

sed -i 's/OpenSSL 1.0.2k-fips  26 Jan 2017/OpenSSL 1.1.1w  FIPS 11 Sep 2023/g' /lib64/libcrypto.so.1.0.2k

4.5、验证

# 可以看出真实版本还是1.0.2k
strings /lib64/libcrypto.so.1.0.2k |grep 1.0.2

# 可以已看出版本号已变更
openssl version

到此结束。这样就可以过那些只扫描版本号的等保了。

End