^-^
升级openssh
  1. openssh升级到9.7p1
    1. 准备工作
    2. 升级openssl
    3. 升级openssh
    4. 后续

openssh升级到9.7p1

本文介绍centos7的ssh版本升级过程,从openssh7.4p1升级到openssh9.7p1。

因为客户那里扫描出了很多漏洞,需要升级openssh的版本,yum源默认的最高版本只到7.4,所以只能手动升级到较新的版本。

基础环境

1
2
3
4
5
6
7
8
cat /etc/redhat-release		# 查看CentOS系统版本信息
CentOS Linux release 7.9.2009 (Core)

openssl version		# 查看openssl版本信息
OpenSSL 1.0.2k-fips 26 Jan 2017

ssh -V		# 查看openssh的版本信息,如果低于7.4建议先yum升级到7.4版本
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

准备工作

openssh9.7p1源码包

提前安装相关的依赖项

1
yum -y install gcc gcc-c++ glibc pam-devel zlib-devel openssl-devel pcre-devel net-tools make autoconf pam* zlib*

由于openssh9.7p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl:openssl-1.1.1w源码包

避免升级过程中出现意外,提前准备telnet连接方式

1
2
3
4
5
6
7
8
9
10
yum install xinetd telnet-server -y
vim /etc/securetty	# 在末尾增加以下四行
    pts/0
    pts/1
    pts/2
    pts/3
systemctl enable xinetd telnet.socket 
systemctl start xinetd telnet.socket
netstat -lntp|grep 23		# 出现监听23端口的进程
tcp6       0      0 :::23                   :::*                    LISTEN      1/systemd

centos yum升级openssl centos7升级openssh8.6_centos yum升级openssl

升级openssl

编译安装

1
2
3
4
5
6
7
8
9
10
11
12
# 将openssl-1.1.1w解压到/usr/local目录下
tar xf openssl-1.1.12.tar.gz -C /usr/local/
# 进入openssl-1.1.1w目录下
cd /usr/local/openssl-1.1.1w/
# 创建安装目录
mkdir /opt/openssl
# 配置编译和安装过程,"--prefix=" 选项配置安装目录
./config --prefix=/opt/openssl
# 构建程序以及所需的指令和依赖关系
make
# 安装编译好的openssl-1.1.1w,以上三步必须没有出现报错(error),才可以继续下一步,全部三步无报错才能视为安装成功
make install

更新lib文件

1
2
3
4
5
6
7
8
9
10
# 检查openssl-1.1.1w所需要的函数库
ldd /opt/openssl/bin/openssl
# 添加openssl-1.1.1w的库文件路径到ld.so.conf
echo "/opt/openssl/lib" >> /etc/ld.so.conf
# 更新系统函数库库 
ldconfig -v
# 再次检查
lld /opt/openssl/bin/openssl
# 绝对路径查看openssl版本
/opt/openssl/bin/openssl version

更新bin文件

1
2
3
4
5
6
7
8
# 查看旧版本的openssl命令路径
which openssl
# 重命名为openssl.old
mv /bin/openssl /bin/openssl.old   #重命名openssl文件
# 使用软连接的方式更新openssl命令
ln -s /opt/openssl/bin/openssl /bin/openssl
# openssl命令查看版本
openssl version

升级openssh

编译安装

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 先使用telnet登录centos7

# 卸载openssh的rpm包
for i in $(rpm -qa | grep openssh);do rpm -e $i --nodeps;done
# 解压缩openssh9.7p1包到目标目录
tar zxvf /home/test/openssh9.7p1.tar.gz –C /usr/local
# 进入openssh9.7p1的源码目录
cd /usr/local/openssh-9.7p1/

# 配置编译和安装过程,"--prefix=" 配置安装目录,"--sysconfdir=" 配置文件路径,"--with-ssl-dir=" openssl的安装路径
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/opt/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening
# 构建程序以及所需的指令和依赖关系
make
# 安装编译好的openssh9.7p1,以上三步必须没有出现报错(error),才可以继续下一步,全部三步无报错才能视为安装成功
make install

修改sshd.init脚本和配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# 从源码目录下复制sshd.init到/etc/init.d/
cp /usr/local/openssh-9.7p1/contrib/redhat/sshd.init /etc/init.d/

## 查看并修改SSHD的新路径,将新的openssh安装路径更新
cat /etc/init.d/sshd.init | grep SSHD
sed -i "s/SSHD=\/usr\/sbin\/sshd/SSHD=\/usr\/local\/openssh\/sbin\/sshd/g" /etc/init.d/sshd.init
cat /etc/init.d/sshd.init | grep SSHD

## 查看并修改ssh-keygen的新路径,将新的ssh-keygen安装路径更新
cat -n /etc/init.d/sshd.init | grep ssh-keygen
sed -i "s#/usr/bin/ssh-keygen -A#/usr/local/openssh/bin/ssh-keygen -A#g" /etc/init.d/sshd.init
cat -n /etc/init.d/sshd.init | grep ssh-keygen

# 开启允许X11转发
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config 
# 开启允许密码验证
echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config 
# 开启允许root登录
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config 
# 修改权限
chmod 600 /etc/ssh/*

启动openssh

1
2
3
4
5
6
7
8
9
# 复制ssh的相关命令
cp -arp /usr/local/openssh/bin/* /usr/bin/
# 启动sshd服务
/etc/init.d/sshd.init start
# 查看版本
ssh –V
# 添加开机启动
Chmod +x /etc/rc.d/rc.local
echo “/etc/init.d/sshd.init start” >> /etc/rc.d/rc.local

后续

因为不是yum升级的,所以systemctl status sshd是找不到unit文件的,可以用/etc/init.d/sshd.init代替。

2024-06-25 该篇文章被 邓胖胖 打上标签: 操作流程 归为分类: 工作笔记