Ubuntu 20.04のOpenSSLのEOL対応並びにOpenSSHの脆弱性対応

概要

• Ubuntu 20.04をインターネットに公開している
• 諸々の事情で22.04にアップグレードできない
• 2023/09/11にサポート終了となったOpenSSLの1.1.1をアップグレードしたい。
• OpenSSHの脆弱性、CVE-2024-6387 の対応を行いたい

方を対象としています。

参考環境

OS:Ubuntu 20.04

• OpenSSLのバージョン確認

openssl version -a

OpenSSL 1.1.1f  31 Mar 2020
built on: Wed May 24 17:14:51 2023 UTC
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(int) blowfish(ptr) 
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-mSG92N/openssl-1.1.1f=. -fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific

• OpenSSHのバージョン確認

ssh -V

OpenSSH_8.2p1 Ubuntu-4ubuntu0.9, OpenSSL 1.1.1f  31 Mar 2020

参考とした手順

• https://nextgentips.com/2022/03/23/how-to-install-openssl-3-on-ubuntu-20-04/
• https://askubuntu.com/questions/1189747/is-possible-to-upgrade-openssh-server-openssh-7-6p1-to-openssh-8-0p1
• https://qiita.com/zzz0mbie/questions/37262d1f3285500b3f45

実施する前の留意点

• コピペだけで済むように、エディタを使わない手順にしています。
• 実際に筆者が実施した手順をそのまま載せています。typo等はご容赦ください。
• 作業影響が極めて大きいため、作業時間の見積や日時調整は迅速かつ丁寧に行ってください。
  • 特にmake / make testは思っている以上に時間がかかります。
• この手順では、sslのパスが変わります。同一サーバ内の他のプログラムがsslを参照している場合は、特に注意してください。

さっくりとはならない手順

1. システム全体のバックアップ
2. 【OpenSSL】必要なライブラリをインストールします。
3. 【OpenSSL】githubレポジトリから最新安定版のソースコードをダウンロードします。
4. 【OpenSSL】ソースからインストールしていきます。
5. 【OpenSSL】設定を行います。（コンフィグを反映させ、パスを通します）
6. 【OpenSSL】バージョンアップを確認します。
7. 【OpenSSL】自動アップデートを無効化します。
8. システム全体の再起動を行います。（1回目）
9. 【OpenSSH】コンフィグに必要なディレクトリの作成を行います。
10. 【OpenSSH】インストールに必要なパッケージをインストールします。
11. 【OpenSSH】作業用ディレクトリに移動します。
12. 【OpenSSH】ソースをダウンロードします。
13. 【OpenSSH】OpenSSHをソースからビルドします。
14. システム全体の再起動を行います。（2回目）
15. 【OpenSSH】バージョンアップを確認します。

実施した手順

全体のバックアップを取得します。

任意の方法でシステム全体のバックアップを取ります。とはいえ、EOL/脆弱性対応のため切り戻しは基本的に許されません。

必要なライブラリのインストール

sudo aptitude install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev libkrb5-dev checkinstall zlib1g-dev git

aptitudeを用いています。必要に応じてaptを使ってください。

【OpenSSL】root昇格

OpenSSLをソースコードからコンパイルしてインストールする一連の作業は管理者権限で実行します。

sudo su -

【OpenSSL】ソースコードの取得

• 作業用ディレクトリに移動

cd /hoge && pwd

任意のディレクトリを指定します

• git clone

git clone https://github.com/openssl/openssl -b openssl-3.3.1

2024/07/03現在の最新版をダウンロードします。

※root昇格済みなのでsudoが不要であることにご注意ください

• ディレクトリ移動

cd openssl

【OpenSSL】ソースからインストール

• コンフィグ

./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib

• コンフィグ成功時の出力

Configuring OpenSSL version 3.3.1 for target linux-x86_64
Using os-specific seed configuration
Created configdata.pm
Running configdata.pm
Created Makefile.in
Created Makefile
Created include/openssl/configuration.h

**********************************************************************
***                                                                ***
***   OpenSSL has been successfully configured                     ***
***                                                                ***
***   If you encounter a problem while building, please open an    ***
***   issue on GitHub <https://github.com/openssl/openssl/issues>  ***
***   and include the output from the following command:           ***
***                                                                ***
***       perl configdata.pm --dump                                ***
***                                                                ***
***   (If you are new to OpenSSL, you might want to consult the    ***
***   'Troubleshooting' section in the INSTALL.md file first)      ***
***                                                                ***
**********************************************************************

• make

make

makeは時間がかかります。状況を時折確認しながら待ちましょう。

• 整合性確認

make test

make 同様に時間がかかります。

• インストール

make install

【OpenSSL】インストール後の設定

• 設定ファイル追記

cat <<- __EOF__ | tee -a /etc/ld.so.conf.d/openssl-3.3.1.conf
/usr/local/ssl/lib64
__EOF__

• 設定反映

ldconfig -v

• 既存プログラムの退避

mv /usr/bin/c_rehash /path/to/backup/c_rehash.$(date +%Y%m%d)

任意の退避ディレクトリを指定します

mv /usr/bin/openssl /path/to/backup/openssl.$(date +%Y%m%d)

任意の退避ディレクトリを指定します

• パスを通す

cat <<- __EOF__ | tee -a /etc/environment
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"
__EOF__

• 通したパスを反映

source /etc/environment

• パス確認

echo $PATH

PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"

と表示されることを確認します

【OpenSSL】バージョンアップ後の確認

openssl version -a

OpenSSL 3.3.1 4 Jun 2024 (Library: OpenSSL 3.3.1 4 Jun 2024)
built on: Wed Jul  3 02:04:25 2024 UTC
platform: linux-x86_64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/ssl/lib64/engines-3"
MODULESDIR: "/usr/local/ssl/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0xfffa3203578bffff:0x7a9

これで、Ubuntu20.04でもOpenSSL3.3.1を利用することが可能になりました。

システム全体の再起動(1回目)

• システムの再起動を行います。

sudo reboot

【OpenSSL】自動アップグレード無効

強制的に3.3系に上げるので、その後、1.1.xがアップグレードされる可能性を防ぎます。

• apt を使用する場合

sudo apt-mark hold openssl

• aptitude を使用する場合

sudo aptitude hold openssl

これに続けて、CVE-2024-6387の対応を行います。

【OpenSSH】ディレクトリ作成と設定

sudo mkdir /var/lib/sshd && sudo chmod -R 700 /var/lib/sshd/ && sudo chown -R root:sys /var/lib/sshd/

【OpenSSH】作業用ディレクトリ移動

cd /hoge && pwd

任意のディレクトリを指定します。

【OpenSSH】ソースのダウンロードと展開

• ソース取得

wget -c http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

上記CVEの脆弱性に対応したバージョンを用います。

• ソース展開

tar -xzf openssh-9.8p1.tar.gz

• ディレクトリ移動

cd openssh-9.8p1

【OpenSSH】展開したソースコードをインストール

• OpenSSLの位置を確認

which openssl

• 結果確認

/usr/local/ssl/bin/openssl

本手順でSSLのバージョンアップを行った場合の環境となります。

• コンフィグ

./configure --with-kerberos5 --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl

--with-ssl-dir=/usr/local/sslは、opensslがあるディレクトリを指定します。

• make

make

• インストール

sudo make install

システム全体の再起動(2回目)

• システムの再起動を行います。

sudo reboot

【OpenSSH】バージョンアップ確認

• バージョン確認

この時点でSSH接続できていれば、ほぼ設定完了です。

ssh -V

OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024

バージョンアップされていることを確認します。

自動アップグレード無効

強制的に9.x系に上げるので、その後、8.xがアップグレードされる可能性を防ぎます。

• apt を使用する場合

sudo apt-mark hold openssh-server

• aptitude を使用する場合

sudo aptitude hold openssh-server

システム全体の確認

1. ログインできることを確認します。
2. 他のサービスが正常に稼働していることを確認します。