Centos 7.4升级openssh到8.3
查询openssl
# openssl version -a
查询openssh
# ssh -V
要准备的包,openssl-1.1.1的包我安装时候有问题,所以用是openssl-1.0.2
openssl-1.0.2.tar.gz
openssh-8.3p1.tar.gz
pam-1.1.8-23.el7.x86_64.rpm
pam-devel-1.1.8-23.el7.x86_64.rpm
zlib-1.2.7-18.el7.x86_64.rpm
zlib-devel-1.2.7-18.el7.x86_64.rpm
telnet-0.17-64.el7.x86_64.rpm
telnet-server-0.17-64.el7.x86_64.rpm
openssl-1.0.2k-19.el7.x86_64.rpm
xinetd-2.3.15-14.el7.x86_64.rpm
先看看有没有pam
# rpm -qa |grep pam
没有就安装
# rpm -Uvh pam-1.1.8-23.el7.x86_64.rpm
# rpm -Uvh pam-devel-1.1.8-23.el7.x86_64.rpm
依次继续
# rpm -Uvh xinetd-2.3.15-14.el7.x86_64.rpm
# rpm -Uvh zlib-1.2.7-18.el7.x86_64.rpm
# rpm -Uvh zlib-devel-1.2.7-18.el7.x86_64.rpm
一般都开telnet,但是我没开,其实可以多开几个界面,防止一时急用
开启xinetd
# systemctl start xinetd
# systemctl status xinetd
# systemctl enable xinetd
关闭selinux
很关键
# vi /etc/selinux/config
将selinux设置为disabled,原来一般是enforcing
这一步之后我会重启一次 reboot
关闭防火墙
# systemctl status firewalld(iptables)
# systemctl stop firewalld(iptables)
升级OpenSSL确保先有编译环境gcc,gcc-c++
先确保你的服务器上已经有gcc,gcc-c++。这两个是编译工具。
查看有没有gcc
# rpm -qa | grep gcc
查看安装
# rpm -qa | grep openssl
一般是openssl-1.0.1的
解压openssl安装包
# tar zxvf openssl-1.0.2
卸载这些包
# for i in $(rpm -qa |grep openssl);do rpm -e $i --nodeps ;done
进入openssl-1.0.2目录
# cd openssl-1.0.2
# ./config shared
# make && make install
安装完成
下面的命令要走一遍,不成功也要走一波
# echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
# ldconfig
# cp /usr/local/ssl/lib/libssl.so.1.0.0 /usr/lib64
这里如果出现错误,openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
在root用户下执行:
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
继续执行
# cp /usr/local/ssl/lib/libcrypto.so.1.0.0 /usr/lib64
# ln -s /usr/lib64/libcrypto.so.1.0.0 /usr/lib64/libcrypto.so.10
# ln -s /usr/lib64/libcrypto.so.1.0.0 /usr/lib64/libcrypto.so
# ln -s /usr/lib64/libssl.so.1.0.0 /usr/lib64/libssl.so.10
# ln -s /usr/lib64/libssl.so.1.0.0 /usr/lib64/libssl.so
# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
# ln -s /usr/local/ssl/include/openssl /usr/include/openssl
查看版本
# openssl version -a
安装openssh
# tar xvf openssh-8.3p1.tar.gz
# cd openssh-8.3p1
卸载原openssh
# rpm -qa | grep openssh
# for i in $(rpm -qa |grep openssh);do rpm -e $i --nodeps ;done
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords--with-pam --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --without-hardening
删除原ssh配置目录,并备份(其实没啥用。。)
# rm -rf /etc/ssh
# cp /etc/ssh /root/ssh
这一步可能会显示 cp 略过,不用管
安装
# make && make install
安装完成,执行配置
# cp ./contrib/redhat/sshd.init /etc/init.d/sshd
# chkconfig --add sshd
# chkconfig sshd on
# chkconfig --list|grep sshd
查看版本
# ssh -V
配置允许root连接,两个方法
1、# sed -i “32 aPermitRootLogin yes” /etc/ssh/sshd_config
2、直接 vi /etc/ssh/sshd_config 添加 PermitRootLogin yes
启动sshd服务
# service sshd restart
开启防火墙
# systemctl start firewalld
问题
目前openssh所有版本都有一个漏洞,升级后,我的22端口连不上,所以我修改22端口为其他值
vi /etc/ssh/sshd_config
将Port 22 改为 Port 66666,只要不重复就行。
同时,在防火墙开放66666端口
firewall-cmd --zone=public --add-port=66666/tcp --permanent
重启sshd服务
# service sshd restart
可以正常连接了!
改了端口后漏洞检测还是会存在,可以关闭sshd服务
# service sshd stop
启动sshd服务
# service sshd start
关闭端口
# vi /etc/services
需要关闭哪个,注释掉就可。
查看开放端口
TCP端口
# netstat -ntlp
UDP端口
# netstat -nupl