Linux OpenSSH最新版9.7p1升级操作详细教程

何小豆儿在此 · 2024-7-19 03:48:49

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

x

1.配景说明

openssh版本9.7p1之前的版本存在很多安全风险，等保验收不通过，需要升至最新的版本
2.升级目标

将openssh版本升至9.7p1
3.预备工作

3.1.环境评估

本次以测试服务器为例讲解，系统为Centos8.0 版本，升级前OpenSSH版本8.0p1,OpenSSL版本1.1.1k,案例仅供更新参考，其他系统及版本请自行测试。

3.2.备份现有配置

cp -rf /etc/ssh /etc/ssh.bak
cp -rf /usr/bin/openssl /usr/bin/openssl.bak
cp -rf /etc/pam.d /etc/pam.d.bak
cp -rf /usr/lib/systemd/system /system.bak

复制代码

3.3.TELNET安装配置

*特别留意：telnet必须安装且验证其他服务器可以通过telnet登录上去，否则升级完之后会出现root用户通过ssh登录不上去的环境，这是一个坑，请务必留意。

#1.telnet安装
yum install -y telnet telnet-server xinetd
#2.启动telnet服务
systemctl start xinetd && systemctl start telnet.socket
#3.开放防火墙23端口
firewall-cmd --zone=public --add-port=23/tcp --permanent
#4.重新加载防火墙规则
firewall-cmd --complete-reload
#5.查询23端口放行情况
firewall-cmd --query-port=23/tcp
#6.开放telnet明文登录
sed -i 's/^auth[[:space:]]\+required[[:space:]]\+pam_securetty.so/#&/' /etc/pam.d/remote
#7.测试telnet登录
telnet ip
#8.加入开机启动
systemctl enable telnet.socket

复制代码

备注：
执行步骤3时我这报了个“FirewallD is not running”的错误，体现防火墙未开启，正常开启防火墙，然后再执行步骤3即可(如果没步骤三没报错，直接执行步骤4即可)

# 1.查看防火墙状态。Active为dead表示防火墙未开启
systemctl status firewalld
# 2.开启防火墙。执行命令没有任何提示，即开启成功
systemctl start firewalld
#3.查看防火墙状态。Active为显示running即已开启了
systemctl status firewalld
#4.如果需要关闭防火墙则运行
systemctl stop firewalld

复制代码

4.升级步骤

4.1.依赖及编译环境安装

yum install -y vim gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel zlib-devel tcp_wrappers libedit-devel perl-IPC-Cmd wget tar lrzsz nano

复制代码

4.2.下载源码包

cd /usr/local/src
wget https://www.zlib.net/zlib-1.3.1.tar.gz
wget https://www.openssl.org/source/openssl-3.2.1.tar.gz
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.7p1.tar.gz

复制代码

4.3.解压源码包

cd /usr/local/src/
tar -zxvf zlib-1.3.1.tar.gz
tar -zxvf openssl-3.2.1.tar.gz
tar -zxvf openssh-9.7p1.tar.gz

复制代码

4.4.安装Zlib

#1.进入zlib-1.3.1目录
cd /usr/local/src/zlib-1.3.1
#2.配置
./configure --prefix=/usr/local/src/zlib
#3.编译及安装（编译时间预计几分钟，视机器而定）
make -j 4 && make test && make install

复制代码

4.5.安装OpenSSL

#1.进入openssl-3.2.1目录
cd /usr/local/src/openssl-3.2.1
#2.配置
./config --prefix=/usr/local/src/openssl
#3.编译及安装（编译时间预计几分钟，视机器而定）
make -j 4 && make install
#4.配置
mv /usr/bin/openssl /usr/bin/oldopenssl
ln -s /usr/local/src/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/src/openssl/lib64/libssl.so.3 /usr/lib64/libssl.so.3
ln -s /usr/local/src/openssl/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3
#5.更新动态库
echo "/usr/local/src/openssl/lib64" >> /etc/ld.so.conf
ldconfig
#6.查看更新后的版本
openssl version -v

复制代码

4.6.安装OpenSSH

4.6.1.老版本OpenSSH卸载

#1.卸载openssh8.0p1
yum remove -y openssh
#2.清理残余文件
rm -rf /etc/ssh/*

复制代码

4.6.2.OpenSSH安装

#1.进入openssh-9.7p1目录
cd /usr/local/src/openssh-9.7p1
#2.配置
./configure --prefix=/usr/local/src/ssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/src/openssl --with-zlib=/usr/local/src/zlib
#3.编译及安装
make -j 4 && make install
#4.查看目录版本
/usr/local/src/ssh/bin/ssh -V
#5.复制新ssh文件
cp -rf /usr/local/src/openssh-9.7p1/contrib/redhat/sshd.init /etc/init.d/sshd
cp -rf /usr/local/src/openssh-9.7p1/contrib/redhat/sshd.pam /etc/pam.d/sshd
cp -rf /usr/local/src/ssh/sbin/sshd /usr/sbin/sshd
cp -rf /usr/local/src/ssh/bin/ssh /usr/bin/ssh
cp -rf /usr/local/src/ssh/bin/ssh-keygen /usr/bin/ssh-keygen
#6.允许root登录
echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config
echo 'PasswordAuthentication yes' >> /etc/ssh/sshd_config
#重启sshd服务
/etc/init.d/sshd restart
#查看服务运行状态
/etc/init.d/sshd status
#添加开机启动
chkconfig --add sshd
#查看升级后ssh版本
ssh -V