之前陆续整理过好几次升级openssh的文章,随着时间的推移,也该更新了,正好当下这个升级需求比较多,尤其是安全扫描时往往大部分高危弊端来自于低版本的openssh,升级后可以解决大部分弊端。
根据最近的实践,以下操作顺应于如下linux版本:
BigCloud Enterprise Linux 8.2/8.6
Rocky Linux 8.10
一、配置telnet服务、gcc编译器
目的:确保不会因为升级ssh失误导致无法长途登陆主机
■ 确认telnet服务是否已经安装
yum info telnet*
■ 如果没有安装telnet-server
yum install telnet-server -y
■ linux7
安装了telnet-server后,可直接启动telnet-server,不必配置xinetd
systemctl start telnet.socket
■ 此时测试能否长途telnet登陆服务器,确认telnet服务生效后,就可以进行下一步
■ 安装openssh需gcc编译器,确认是否安装
yum info gcc
如没有安装,则安装:
yum install gcc
二、安装新版本zlib【可选】
一般linux8版本的zlib库版本不需要升级
三、安装新版本openssl【可选】
一般linux8版本的openssl库版本不需要升级
四、备份老版本openssh
- tar cvf /root/sshd20250210.tar /usr/lib/systemd/system/sshd*
- mv /usr/lib/systemd/system/sshd-keygen.target{,.ori}
- mv /usr/lib/systemd/system/sshd.service{,.ori}
- mv /usr/lib/systemd/system/sshd.socket{,.ori}
- mv /usr/lib/systemd/system/sshd-keygen@.service{,.ori}
- mv /usr/lib/systemd/system/sshd@.service{,.ori}
- mv /etc/ssh{,.ori}
1、官网下载最新版本源码
【版本9.9p1】
www.openssh.com
最新版本国内镜像地址见下一步。
2、配置、编译、安装
- wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.9p1.tar.gz
- tar xvfz openssh-*.tar.gz
- cd openssh-9.9p1
- ./configure --prefix=/usr/local --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
- 此时可能会报错:
- checking for openssl... /usr/bin/openssl
- configure: error: *** working libcrypto not found, check config.log
- 则需安装 openssl-devel:yum install -y openssl-devel
- 或者报错:找不到pam文件头,则安装pam-devel包即可:
- yum install pam-devel -y
- make
- make install
六、配置新的sshd系统服务
1、天生新的服务配置文件,3个
[code]cat > /usr/lib/systemd/system/sshd-keygen.service /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.socket |
