Ubuntu20.04与22.04 OpenSSL与OpenSSH编译安装

OpenSSL与OpenSSH需要常常修复漏洞，编译安装步调供参考,适用ubuntu版本，其他版本雷同，若升级主机较多，建议先在测试情况验证，如OpenSSL大版本升级且OpenSSH有新稳固版本，建议升级OpenSSL同时也升级OpenSSH

安装编译依靠包

1. apt update
2. apt install gcc make  zlib1g-dev  libpam0g-dev libkrb5-dev libedit-dev -y

复制代码

利用体系openssl版本检察：
ubuntu20.04 openssl版本：OpenSSL 1.1.1f
ubuntu22.04 openssl版本：OpenSSL 3.0.2

安装 OpenSSL

起首，使用 wget 下令下载 OpenSSL 的源代码压缩包。从 OpenSSL 官方网站上找到最新版本的源代码。
注意：由于OpenSSL 1.1.x版本已停止维护，ubuntu20.04.x体系建议都使用现在长期支持版

下载 OpenSSL包

1. wget https://www.openssl.org/source/openssl-3.0.13.tar.gz

复制代码

如下以ubuntu20.04示例：

解压源代码
使用 tar 下令解压源代码压缩包。

1. tar -zxf openssl-3.0.13.tar.gz

复制代码

切换到解压后的源代码目次。

1. cd openssl-3.0.13/

复制代码

设置编译选项：
运行以下下令设置编译选项。(是否加shared 、zlib参数都可以举行后面的openssh安装)
将 OpenSSL 安装到 /usr/local/openssl 目次下，并设置 openssldir 为同样的路径。

1. ./config shared --prefix=/usr/local/openssl --openssldir=/usr/local/openssl

复制代码

编译和安装：
运行 make 下令举行编译，然后使用 make install 下令举行安装。请确保您具有足够的权限来执行此利用, make 可更换为 make -j4 并行处理（此中的数字 4 表示允许并行运行的任务数）

1. make && make install

复制代码

备份原来的openssl

1. mv /usr/bin/openssl /usr/bin/openssl.bak

复制代码

创建软链接到体系位置

1. ln -s /usr/local/openssl/bin/openssl  /usr/bin/openssl

复制代码

将openssl 的lib 库添加到体系(‘/usr/local/openssl/lib64’ 单引号)

1. #openssl 1.x.x版本是: /usr/local/openssl/lib/ 路径
2. #echo '/usr/local/openssl/lib' > /etc/ld.so.conf.d/openssl.conf
3. echo '/usr/local/openssl/lib64' > /etc/ld.so.conf.d/openssl.conf   

复制代码

加载lib库 (可加 -v 参数检察详细显示)

1. ldconfig

复制代码

看看openssl版本

1. openssl  version

复制代码

如今，您已经成功在 Ubuntu 20.04 上编译安装了 OpenSSL。 如果您在安装其他软件时需要使用 OpenSSL，请确保相应的软件能够找到新安装的 OpenSSL 路径。
openssh安装

注意： 利用前需备份好已安全加固的设置文件 （新情况可忽略）
若网络不稳固举行升级，建议临时安装telnetd服务，制止终端中断无法远程利用,由于telnet服务存在不安全因素，升级验证完后举行卸载 （apt install telnetd -y）
备份文件，防止现有设置丢失

1. cp -a /etc/pam.d/sshd  /mnt/sshd-bak-`date +%F`
2. cp -a /etc/ssh/sshd_config  /mnt/sshd_config-bak-`date +%F`

复制代码

下载openssh
采用国内阿里云镜像站下载，也可从openssh官网下载

按支持的协议选择性下载

1. #清华大学镜像站（备用）
2. #wget https://mirrors.tuna.tsinghua.edu.cn/OpenBSD/OpenSSH/portable/openssh-9.7p1.tar.gz
3. wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.7p1.tar.gz

复制代码

若下载认证提示未通过可添加--no-check-certificate 参数跳过认证

1. wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.7p1.tar.gz --no-check-certificate

复制代码

解压openssh

1. tar -zxf openssh-9.7p1.tar.gz

复制代码

进入解压目次

1. cd openssh-9.7p1/

复制代码

设置参数

1. ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-kerberos5 --with-libedit --with-pam --with-gssapi --with-zlib --with-ssl-dir=/usr/local/openssl --with-privsep-path=/var/lib/sshd

复制代码

编译与安装

1. make && make install

复制代码

编辑设置文件
注释Type=notify参数或者修改为Type=simple

1. vim /lib/systemd/system/ssh.service  

复制代码

注释Type=参数快捷方式

1. sed -i '/^Type=/s/^/#/' /lib/systemd/system/ssh.service

复制代码

重新加载设置并重启sshd生效

1. systemctl daemon-reload
2. systemctl restart sshd

复制代码

检察openssh 版本

1. ssh -V

复制代码

如今，您已经成功在 Ubuntu 20.04 上编译安装了 OpenSSH。
openssh升级后root用户无法远程登录 （可选利用，根据实际情况要求选择是否开启）

编辑sshd_config设置文件PermitRootLogin参数为yes，生存并重启sshd

1. PermitRootLogin yes

复制代码

隐藏版本号:
当地执行’ssh -V
"任可见，根据实际版本号举行更换，x.x 可为任意字母或数字
根据ssh-V 和 strings /usr/sbin/sshd|grep ‘OpenSSH_’ 确定要修改的版本(ssh远程时版本号后一样寻常不带字母)

备份文件

1. cp -a /usr/sbin/sshd /usr/sbin/sshd-bak-`date +%F`

复制代码

修改版本号

1. sed -i 's/OpenSSH_9.7/OpenSSH_x.x/g'  /usr/sbin/sshd

复制代码

重启sshd服务

1. systemctl restart sshd

复制代码

验证隐藏版本号
使用nmap工具举行验证或新建连接方式检察，版本号变为OpenSSH x.x （nmap安装：apt install nmap）

1. nmap -p 22 -sV -v -n  主机ip

复制代码

1. PORT   STATE SERVICE VERSION
2. 22/tcp open  ssh     OpenSSH x.x (protocol 2.0)

复制代码

安全加固
修复diffie-hellman 漏洞,去掉diffie-hellman开头的参数

1. sshd -T|grep -w kexalgorithms

复制代码

sntrup761x25519-sha512@openssh.com 参数在openssh 8.5版本引入，9.0版本中默认添加
openssh升级后rke 启动集群报ssh认证错误:（非安全加固，统一添加sshd设置）

1. PubkeyAcceptedKeyTypes=+ssh-rsa

复制代码

sshd_config 设置末了添加

1. vim /etc/ssh/sshd_config

复制代码

1. Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
2. kexalgorithms sntrup761x25519-sha512@openssh.com,ecdh-sha2-nistp384,ecdh-sha2-nistp521
3. MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com
4. PubkeyAcceptedKeyTypes=+ssh-rsa

复制代码

重启sshd

1. systemctl  restart sshd

复制代码

FAQ：

openssl与openssh编译后是否可删除原体系默认安装的opensl与openssh

答：建议都生存
针对openssl
若狠心删除，openssl软链接的是原体系的openssl执行文件，删除原体系默认安装的opensl后会将openssl执行文件一并删除，重新创建一次软连接即可

1. apt remove openssl
2. ln -s /usr/local/openssl/bin/openssl  /usr/bin/openssl

复制代码

针对openssh
openssh编译时已指定/etc/ssh路径，删除不仅把原体系安装的openssh卸载，编译安装的也会卸载，建议生存，若已删除，请重新按openssh编译安装步调执行
openssl有新版本怎么升级

答：下载新版本，解压并进入目次，再次运行编译与安装、加载lib库、检察版本号是否更新即可，无需其他利用

1. ./config shared --prefix=/usr/local/openssl --openssldir=/usr/local/openssl
2. make && make install
3. ldconfig
4. -v

复制代码

若普通用户执行openssl version还是之前安装的版本，但是root用户显示却是已升级的版本

openssl安装目次权限添加普通用户可读设置（正常编译安装应该不存在需要再次设置权限标题）

1. find /usr/local/openssl/ -type d |xargs chmod  o+r

复制代码

远程登录ssh连接慢，需要期待好一会儿才气连接成功

编辑设置文件：/etc/ssh/sshd_config，取消 #UseDNS no前注释，生存后重启sshd服务

ssh.service设置文件注释Type=notify参数量的

答：编译安装完后，执行sshd重启systemctl restart sshd
下令会不绝期待末了超时，临时注释Type=notify参数后不关照systemd管理，如有高人知晓还请不吝赐教，接待评论和联系

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。