CentOS 7 升级 OpenSSH 9.6 (官方简单步调)

---

场景

手头有很多业务跑在 CentOS 7.x 情况，体系太老且OpenSSH 使用官方rpm包最高只能升级到7.4。要修复OpenSSH 近来的高危漏洞，只能使用OpenSSH 源码包手工编译。需要注意的点：

• OpenSSH 提供多种操作体系分发版的打包，CentOS 7.x 可以打出rpm包，不建议使用 make install 方式安装
  
• OpenSSH 需要 openssl >= 1.1.1，CentOS 官方没有这个版本，因此OpenSSH 在 CentOS 7 默认使用 --without-openssl 编译。这完全不影响ssh和sshd一样平常使用，后续再补全openssl-1.1.1编译步调
  

准备情况

1. 编译情况

在 CentOS 7 中安装各种库、头文件、编译器和打包工具，yum 源可以配置aliyun的centos-vault

1. yum groupinstall -y "Development Tools"
2. yum install -y zlib-devel pam-devel krb5-devel
3. yum install -y rpmdevtools imake libXt-devel gtk2-devel
5. # 创建 编译和打包 的目录结构
6. rpmdev-setuptree
7. # 完成后创建以下目录
8. # /root/rpmbuild/SOURCES
9. # /root/rpmbuild/SPECS
10. # /root/rpmbuild/BUILD
11. # /root/rpmbuild/RPMS
12. # /root/rpmbuild/SRPMS

复制代码

完成后/root/rpmbuild目录结构如下

2. 下载源码

默认编译需要用到 openssh 和 x11-ssh-askpass 两套源码，源码包生存到/root/rpmbuild/SOURCES/目录下，无需解压：

• openssh 源码https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-%{version}.tar.gz
  下面以 openssh-9.6 为例，使用阿里云国内镜像https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.6p1.tar.gz
  
• x11-ssh-askpass 源码http://www.jmknoble.net/software/x11-ssh-askpass/x11-ssh-askpass-%{aversion}.tar.gz
  openssh-9.6 使用 x11-ssh-askpass-1.2.4.1，如果404可以在这里下载
  

1. cd /root/rpmbuild/SOURCES/
3. # 使用aliyun镜像下载openssh
4. curl -LO https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.6p1.tar.gz
6. # x11-ssh-askpass-1.2.4.1
7. wget http://www.jmknoble.net/software/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz

复制代码

至此编译情况已准备好
编译OpenSSH

编译过程：

• 从 openssh 源码包中解压出 RedHat 用的SPEC文件，CentOS 同样适用，放在/root/rpmbuild/SPECS目录下
  
• 编译 + 打包，编译过程一样寻常不会出错，最终得到 rpm 包
  

1. # 找到openssh包并解压spec
2. cd /root/rpmbuild/SOURCES/
4. tar -xvzf openssh-9.6p1.tar.gz \
5.         -C /root/rpmbuild/SPECS/ \
6.         --strip-components=3 \
7.         openssh-9.6p1/contrib/redhat/openssh.spec
9. # 到 /root/rpmbuild/SPECS/ 目录下
10. # 使用 openssh.spec 编译和打包
11. rpmbuild -ba openssh.spec

复制代码

rpmbuild不报错实验完，编译和打包效果会放在/root/rpmbuild/RPMS/x86_64/目录下

安装

安装比较简单，rpm或yum均可

1. cd /root/rpmbuild/RPMS/x86_64
3. rpm -Uvh openssh-9.6p1-1.el7.x86_64.rpm \
4.         openssh-server-9.6p1-1.el7.x86_64.rpm \
5.         openssh-clients-9.6p1-1.el7.x86_64.rpm
7. # 或执行
9. yum install -y openssh-9.6p1-1.el7.x86_64.rpm \
10.         openssh-server-9.6p1-1.el7.x86_64.rpm \
11.         openssh-clients-9.6p1-1.el7.x86_64.rpm

复制代码

  升级安装时需要注意 /etc/ssh 目录下sshd的配置
  

• 私钥文件的权限应设置为600，否则sshd会无法启动
  
• openssh7 的 rsa密钥 和 ecdsa密钥 已经不再有效了，可选删除
  
• 新的sshd_config被命名为sshd_config.rpmnew，可选备份并替换
  

1. cd /etc/ssh
3. chmod 600 *key
5. # 可选操作：删除 rsa密钥 和 ecdsa密钥
6. mkdir bak
7. mv ssh_host_ecdsa_key* bak/
8. mv ssh_host_rsa_key* bak/
10. # 可选操作：替换sshd_config
11. # 注意检查旧版本sshd_config的配置，如是否允许root登录
12. mv sshd_config sshd_config.openssh74
13. mv sshd_config.rpmnew sshd_config

复制代码

各项配置查抄妥当后，重启sshd

1. systemctl restart sshd.service

复制代码

这里有几点经验

• 重启sshd服务后先不要关闭终端软件session，因为现有的连接是旧版sshd提供的。先开新的session测试ssh连接，能乐成登录并成为root用户后再思量关闭老的session，避免各种问题导致无法连接服务器
  
• 如果要升级生产情况，务必先在测试情况多测试，然后分期分批升级生产情况，否则会劳绩很凄切的教导
  

总结

本次编译的rpm包可以在这里下载
另外需要关注：openssl 版本低于1.1.1导致 openssh 编译时自动加上 --without-openssl，使用sshd -V也显示without OpenSSL，下篇博客解决这个问题

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。