升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见题目总结 ...

  近期因为openssh相继被漏洞扫描工具扫出存在漏洞，所以考虑升级操作系统中的openssh和openssl为最新版本，来制止漏洞风险。期间的升级过程及遇到的疑难题目，特此纪录下来，供有必要的人参考。
  本次目标是升级 openssh 为 9.7p1 版本，升级 openssl 为 1.1.1h 版本。环境为 kylin-SP2 服务器版操作系统。
一、下载源码并编译安装。

1、下载源码。

openssh下载地点：https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
openssl下载地点：https://github.com/openssl/openssl/releases?page=2
下载好源码上传到服务器上。
2、编译安装（安装题目请参考后边阐明）。

解压openssl源码包并编译安装。

1. tar zxf openssl-1.1.1h.tar.gz
2. cd openssl-1.1.1h
3. ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
4. make && make install

复制代码

解压openssh源码包并编译安装。

1. tar zxf openssh-9.7p1.tar.gz
2. cd openssh-9.7p1
3. ./configure --prefix=/usr --with-ssl-dir=/usr/local/ssl --sysconfdir=/etc/ssh --with-pam --with-gssapi --with-rsa --with-rhosts-allowed --with-zlib --with-md5-passwords
4. make && make install

复制代码

检察openssh和openssl版本号命令：

1. ssh -V
2. sshd -v
3. openssl version

复制代码

二、常见题目解答

（1）提示缺少 pam 库。

办理方法：

1. yum install -y pam-devel

复制代码

（2）提示当前系统的openssl版本和库文件对应不上。

办理方法1： 一般openssl会涉及到两个库文件，分别为 libcrypto.so.1.1 和 libssl.so.1.1 ，必要检查两个软链接所引用的实际文件的版本号是否与 openssl version 所检察到的版本号相匹配。
办理方法2： 在编译时增长参数：–without-openssl-header-check
（3）升级乐成之后使用命令重启ssh，一直处于Active: activating（auto-restart）状态，sshd.service前面显示灰色，不正常。看着并不影响登录使用。

原因分析： 出现报错：sshd.service holdoff time over, scheduling restart. 是因为ssh启动后，没有给systemd发消息，systemd就一直等，超时后就重启ssh，导致ssh频繁挂起，但未启动乐成。
办理方法： 修改源码，在 openssh-9.7p1 目次下找到 sshd.c 文件，找到调用 server_accept_loop 函数的地方，在上边增长一行 sd_notify(0, “READY=1”); 然后在源文件开头添加引用头文件 #include <systemd/sd-daemon.h>

完成后还必要确保系统中存在 systemd-devel 软件包才可，然后才气举行安装。安装命令为：yum install systemd-devel
在执行完configure之后会天生预编译文件Makefile，找到变量 LIBS，增长 -lsystemd 末了举行make和make install即可。

（4）提示不支持的参数：GSSAPIAuthentication、GSSAPICleanupCredentials、RSAAuthentication、RhostsRSAAuthentication。

办理方法： 在/etc/ssh/sshd_config文件中解释掉上边不支持的参数即可。

1. sed -i 's/^GSSAPIAuthentication/#&/' /etc/ssh/sshd_config
2. sed -i 's/^GSSAPICleanupCredentials/#&/' /etc/ssh/sshd_config
3. sed -i 's/^RSAAuthentication/#&/' /etc/ssh/sshd_config
4. sed -i 's/^RhostsRSAAuthentication/#&/' /etc/ssh/sshd_config

复制代码

（5）使用scp命令时提示bad配置参数：GSSAPIKexAlgorithms。

办理方法： 在/etc/crypto-policies/back-ends/openssh.config文件中解释掉上边的配置参数即可。

1. sed -i 's/^GSSAPIKexAlgorithms/#&/' /etc/crypto-policies/back-ends/openssh.config

复制代码

（6）使用ssh命令提示不支持的参数：GSSAPIAuthentication。

办理方法： 在/etc/ssh/ssh_config.d/05-redhat.conf文件中解释掉上边不支持的参数即可。

1. sed -i 's/GSSAPIAuthentication/#&/' /etc/ssh/ssh_config.d/05-redhat.conf

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。