centos7升级openssh9.7p1

于 2024-06-27 19:08:46 发布
阅读量1.1k 收藏 10
点赞数 18
分类专栏: Linux 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CrazyBaymax/article/details/140021299
版权

场景:因服务器漏扫报告,提示一堆openssh漏洞问题,且涉及服务器较多,故准备升级所有服务器的openssh至最新的版本,因情况不一样,本文不一定适用所有情况,所以仅供参考

注:前提:因升级openssh需要下载更新关联的包太多,离线下载更新异常麻烦,因此,本文是在服务器可访问互联网的前提下进行升级的,满足不了这个前提的小伙伴可以忽略本文了,我升级生产环境也是申请的临时访问互联网权限才完成的升级。

升级前的准备:

官网下载openssh:

https://www.openssh.com/releasenotes.html

或:https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

下载openssl:

https://github.com/openssl/openssl/releases?page=2

1、查看centos7、ssh以及openssl的版本信息

# 查看CentOS系统版本信息
cat /etc/redhat-release
# 查看openssl版本信息
openssl version
# 查看openssh的版本信息
ssh -V

(openssh7.*版本升级到9.7p1也可以这么升级,已验证)

2、yum安装相关依赖:

# 安装相关的依赖项,如果有遗漏再次运行命令安装一遍
yum -y install gcc pam-devel zlib-devel openssl-devel net-tools

3、安装openssl-1.1.1w

因openssh9.7p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl。

3.1解压openssl-1.1.1w至/usr/local

tar zxvf openssl-1.1.1w.tar.gz -C /usr/local/
#(如果没有提示tar命令,执行 sudo yum install tar 命令安装一下tar命令)
#查看解压后目标情况
ll /usr/local/ |grep openssl
#进入解压后的目录
cd /usr/local/openssl-1.1.1w/

3.2安装openssl前的准备

#创建openssl的安装目录
mkdir /opt/openssl
#安装前确认openssl的旧版本
openssl version

3.3编译安装openssl-1.1.1w

# 配置编译和安装过程,"--prefix=" 选项配置安装目录
./config --prefix=/opt/openssl
# 构建程序以及所需的指令和依赖关系(等待时间有点长)
make
# 安装编译好的openssl-1.1.1w(等待时间有点长)
make install

# 注:以上三步必须没有出现报错(error),才可以继续下一步,全部无报错才能视为安装成功

./config --prefix=/opt/openssl执行成功情况参考图:

make执行成功参考图:

make install之后参考图:

3.4更新lib文件

# 检查openssl-1.1.1w所需要的函数库
ldd /opt/openssl/bin/openssl
# 添加openssl-1.1.1w的库文件路径到ld.so.conf
echo "/opt/openssl/lib" >> /etc/ld.so.conf
# 更新系统函数库
ldconfig -v
# 绝对路径查看openssl版本
ldd /opt/openssl/bin/openssl

前后对比图:

3.5更新bin文件

# 查看旧版本的openssl命令路径
which openssl
# 重命名为openssl.old
mv /usr/bin/openssl /usr/bin/openssl.old   #重命名openssl文件
# 使用软连接的方式更新openssl命令
ln -s /opt/openssl/bin/openssl /usr/bin/openssl
# openssl命令查看新安装版本号
openssl version

至此openssl安装成功

4、编译安装openssh9.7p1

4.1 编译安装前的准备

#有条件的安装telnet并连接至服务器,防止安装失败连不上服务器,如果是云服务器,提前做好快照,方便升级#失败时还原,我这里是云服务器,没有telnet,就不再写了,网上一搜一堆

# 卸载openssh的旧的rpm包(执行这一步命令之前请确认你已经做好了连不上服务器的准备)
for i in $(rpm -qa | grep openssh);do rpm -e $i --nodeps;done
# 解压缩openssh9.7p1包到目标目录
tar zxvf /root/openssh-9.7p1.tar.gz -C /usr/local/
# 进入openssh9.7p1的源码目录
cd /usr/local/openssh-9.7p1/
# 安装前可以查看一下安装文件INSTALL
more INSTALL

4.2编译安装openssh9.7p1

# 配置编译和安装过程,"--prefix=" 配置安装目录,"--sysconfdir=" 配置文件路径,"--with-ssl-dir=" openssl的安装路径
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/opt/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening
# 构建程序以及所需的指令和依赖关系
make
# 安装编译好的openssh9.7p1
make install
这里如果make install报
Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
sshd: no hostkeys available -- exiting.
make: [check-config] Error 1 (ignored)
的错误,执行以下命令:
chmod 600 /etc/ssh/*
然后再次执行make install

# 注:以上三步必须没有出现报错(error),才可以继续下一步,全部无报错才能视为安装成功

执行./configure.....之后成功的参考图:

make成功之后的参考图:

make install成功之后的参考图:

4.3复制并修改启动sshd.init脚本

# 从源码目录下复制sshd.init到/etc/init.d/
cp /usr/local/openssh-9.7p1/contrib/redhat/sshd.init /etc/init.d/

## 查看并修改SSHD的新路径,将新的openssh安装路径更新进去
cat /etc/init.d/sshd.init | grep SSHD
sed -i "s/SSHD=\/usr\/sbin\/sshd/SSHD=\/usr\/local\/openssh\/sbin\/sshd/g" /etc/init.d/sshd.init
cat /etc/init.d/sshd.init | grep SSHD

## 查看并修改ssh-keygen的新路径,将新的ssh-keygen安装路径更新进去
cat -n /etc/init.d/sshd.init | grep ssh-keygen
sed -i "s#/usr/bin/ssh-keygen -A#/usr/local/openssh/bin/ssh-keygen -A#g" /etc/init.d/sshd.init
cat -n /etc/init.d/sshd.init | grep ssh-keygen

4.4 修改配置文件(sshd_config)

# 开启允许X11转发
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
# 开启允许密码验证
echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config

4.5 启动openssh,并设置开机启动

# 复制ssh的相关命令
cp -arp /usr/local/openssh/bin/* /usr/bin/
# 启动sshd服务
/etc/init.d/sshd.init start
# 查看版本
ssh -V
# 添加开机启动
chmod +x /etc/rc.d/rc.local
echo "/etc/init.d/sshd.init start" >> /etc/rc.d/rc.local

4.6 测试openssh连接

#使用ssh协议连接centos7,检查openssh9.7p1服务
#重启系统后ssh协议登录centos7,检查openssh9.7p1自动启动
#如果root账户登录不上去的话创建一个子账户,比如:
sudo useradd test
sudo passwd test
#然后使用子账户登录 通过su命令切换到root账户

5、如果开始之前启用了telnet,在这里卸载telnet服务

# 确认openssh升级成功,连接无异常后卸载telnet服务
yum -y remove telnet telnet-server

6、检查系统、openssl和openssh的版本信息

# 查看openssl版本信息
openssl version
# 查看openssh的版本信息
ssh -V

至此,centos7升级openssh9.7p1升级完毕,已亲身使用生产服务器验证过,漏洞也解决了,希望能给各位小伙伴带来帮助ღ( ´・ᴗ・` )比心。

CrazyBaymax
关注
  • 18
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos7.2 7.4 7.6 7.8升级openssh9.6方法和详解(脚本一键升级
01-18
使用以下脚本内容: 如果ssh不能登录,将sshd恢复 cp /etc/ssh/sshd_7.4p1_pam_bak /etc/pam.d/sshd #!/bin/bash echo "备份sshd_config配置文件及sshd_pam文件" cp /etc/ssh/sshd_config /etc/ssh/sshd_config_7.4p1_bak cp /etc/pam.d/sshd /etc/ssh/sshd_7.4p1_pam_bak rpm -Uvh openssh-*.rpm chmod 0600 /etc/ssh/ssh_host_*_key sed -i "s/#UsePAM no/UsePAM yes/g" /etc/ssh/sshd_config sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config systemctl restart sshd
centos7升级openssh9.4p1及openssl1.1.1v版本
xutengfei999的博客
01-08 1367
背景:客户服务器扫描出一些漏洞,发现和版本有关,漏洞最高的版本是9.3p2,所以我们安装一个openssh9.4p1版本及openssl1.1.1v版本。1、安装配置telnet,一般Linux系统自带telnet客户端,只需安装服务端即可,另外telnet运行需要依靠xinetd组件。4、配置软连接,如果提示已存在,参数换位-b,并使用openssl version查看版本。5、配置/etc/ssh/sshd_config文件,允许root账户远程登录。二、安装openssl及openssh
Openssh升级方法
Katie_ff的博客
07-09 1万+
使用:https://www.openssl.org/source/openssl-1.1.1h.tar.gz下载未升级版本的1.1.1版本。在官网上下载https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/检测之前安装的包(openssl和openssh都要更新,openssh依赖于openssl)openssh-7.5p1.tar.gz 安装包 拖入到opt下。将openssl-1.1.1h.tar.gz拖入到opt目录下。
CentOS升级openssh
qq_26057083的博客
03-24 2997
公司几台服务器扫出了几个openssh相关的漏洞,解决办法就是升级openssh版本。升级过程中踩坑较多,故作此博客记录。
Centos 7 升级Openssh7.4到9.2
zcfeng
06-05 2730
OPENSSH7.4升级OPENSSH9.2
史诗级详细离线更新centos系统的openssh升级到9.3p1!!
qq_43913213的博客
07-03 1万+
离线更新openssh步骤 文章目录 前言 一、openssh是什么? 二、更新步骤 1.查看相关组件版本是否存在(代码包已全部打包) 2.进行openssh离线更新 总结(安装时可能出现的问题等) 前言 对于可能很多人在离线更新openssh时都没找到一篇能解决实际问题的文章,那么今天它来了,请往下看。 提示:在进行生产环境操作时,需谨慎在尽可能一样的虚拟环境进行验证操作。(OS:如果不放心可以双保险,开启Telnet服务,具体步骤需自行搜索) 一、openssh是什么?   Op
用于升级CentOS7系统openssh-9.7p1的rpm包
03-18
进入openssh9.7p1文件夹,里面包含openssh-9.7p1升级的rpm包 查看当前openssh的版本 使用yum localinstall openssh-*.rpm 进行更新 授权,重启服务,设置开机自启 查看openssh状态 查看openssh版本
适用于centos8.*及其龙蜥8U*和BCLinux8U*的openssh9.7P1,x86架构rpm包
05-25
本人2024年5月25日制作的openssh9.7P1的rpm包,适用于centos8.*及其龙蜥8U*和BCLinux8U* 包含以下文件: openssh-9.7p1-1.el8.x86_64.rpm openssh-clients-9.7p1-1.el8.x86_64.rpm openssh-server-9.7p1-1.el8.x86_...
适用于CentOS7.*和redhat el7系列的openssh9.7P1,x86架构rpm包
最新发布
05-26
本人2024年5月26日制作的openssh9.7P1的rpm包,适用于CentOS7.*系列和redhat el7系列,el7 包含以下文件: openssh-9.7p1-1.el7.x86_64.rpm openssh-clients-9.7p1-1.el7.x86_64.rpm openssh-server-9.7p1-1.el7.x86...
centos7 升级openssh9.6
01-18
CentOS 7预装的OpenSSH版本可能相对较旧,为了获得最新的安全更新和特性,升级OpenSSH 9.6是必要的。下面我们将详细探讨如何在CentOS 7系统上进行这个过程。 首先,确保你的系统是最新的,通过运行以下命令来更新...
OpenSSH升级
热门推荐
qq_29768197的博客
05-30 3万+
OpenSSH升级
centos7 升级openssh
Jietewang的博客
07-23 1916
前言 因为生产环境主机一直被通报存在openssh漏洞,报告显示小于某个版本存在很多的漏洞,没办法只能更新对应的版本,记录一下升级过程和一些坑点。已知的任何文档都有不可能完全解决我们即将面对的未知问题,所以建议多动手,多分析。建议在生产服务器操作时先使用同版本的系统到虚拟机上测试。整个过程会升级openssl和openssh,如果有人看到这篇文章并根据指导升级过程中出现问题,建议分开搜索相关升级流程。建议关闭防火墙和seLinux 1.版本对比 升级前旧版 升级后新版 2...
linux的centos离线升级ssh版本
furenqiang的博客
03-20 1224
离线升级ssh
CentOS7升级SSH最新版本(9.4p1)详细步骤
weixin_54438700的博客
08-31 7739
安全服务加固项目,基于SSH与SSL的CVE漏洞,根据修复建议就是升级更高的版本,或者打补丁,于是就对服务器OpenSSH和OpenSSL进行了升级,并进行了步骤记录。(升级了一天,感觉自己就是敲键盘的猴子,手指头酸痛酸痛的😭),废话不多说,记录一下升级的步骤和遇到的坑,希望可以帮助到大家~先确定服务器操作系统的版本,因为不同版本的操作系统用到的命令存在很大的差异。我这里将SSH升级到最新版本9.4p1,SSL升级到1.1.1v,如下图,已将安装包传至服务器中。可能遇到的报错信息:提示已存在。
Linux OpenSSH最新版9.7p1升级操作详细教程
zt19820204的博客
04-17 1万+
从各渠道及官方公布的漏洞来看,9.6p1以下版本均受到影响。截止发稿前,Openssh官方查看最新版本为2024年3月11日发布的9.7p1,本次将更新升级至此版本,来提高系统安全系数。
CentOS5/6/7/8 OpenSSH升级(源码编译安装)
刘元林的博客
03-16 6375
安装依赖 yum -y install gcc gcc-c++ zlib zlib-devel openssl openssl-devel pam-devel zlib是必须的,同时没有libcrypto编译安装OpenSSH是被允许的,但是其所使用的加密算法会被严格限制。 libcrypto from either of LibreSSL or OpenSSL. Building without libcrypto is supported but severely restricts th..
Centos升级openssh
pursue.dreams的博客
09-02 1390
linux-centos 7升级openssh版本为最新版本
探索OpenSSH版本升级
zzzxxx520369的博客
05-05 3947
OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。基于DH做密钥交换,基于RSA或DSA实现身份认证,从而实现无需输入账号密码。
centos7升级openssh至8.9p1
08-30
要在CentOS 7上升级OpenSSH到8.9p1,您可以按照以下步骤进行操作: 1. 在CentOS 7上更新所有软件包: ``` sudo yum update ``` 2. 安装必要的开发工具和依赖项: ``` sudo yum groupinstall "Development Tools" sudo yum install openssl-devel zlib-devel ``` 3. 下载OpenSSH 8.9p1的源代码包: ``` wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.9p1.tar.gz ``` 4. 解压源代码包并进入解压后的目录: ``` tar -xf openssh-8.9p1.tar.gz cd openssh-8.9p1 ``` 5. 配置和编译OpenSSH: ``` ./configure make ``` 6. 停止当前运行的OpenSSH服务: ``` sudo systemctl stop sshd ``` 7. 安装新版OpenSSH: ``` sudo make install ``` 8. 启动OpenSSH服务: ``` sudo systemctl start sshd ``` 9. 确认OpenSSH版本是否已升级: ``` ssh -V ``` 以上就是在CentOS 7上将OpenSSH升级至8.9p1的步骤。升级后,您将能够享受新版OpenSSH提供的安全和性能改进。请确保在执行升级操作之前备份重要的配置文件和数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值