linux公有云主机ssh升级(以openEuler22.03为例)

已于 2024-08-16 13:25:07 修改
阅读量1.2k 收藏 18
点赞数 20
分类专栏: Linux # 系统服务 文章标签: linux ssh 升级 CVE 阿里云 实验 笔记
于 2024-08-13 13:41:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tassel_YUE/article/details/141157936
版权

目录

为什么要升级ssh

openssh作为使用最为广泛的linux下ssh程序,一旦被挖掘出危险漏洞(CVE)就很容易影响生产、资产的安全,因此即使根据披露出的CVE找到对应的解决方法很关键。
而升级openssh版本,是解决cve一个最方便最有效的方法之一。

怎么查看CVE

可以通过各大厂商的cve披露网站,如阿里云的:阿里云漏洞库
在这里插入图片描述
这个网站披露了很多CVE漏洞,并提供了一定的解决方法,如搜索openssh的cve
在这里插入图片描述
在这里插入图片描述

如上图,就推荐将openssh升级到9.8p1的版本。

升级ssh有两种方式:

  • 第一种:找到对应版本的rpm包,直接通过rpm工具进行升级。
  • 第二种:通过下载官网最新的源码包,通过源码包升级。

rpm包和源码包最大的区别就在于,源码包是实时更新的,而且可以自定义安装路径和功能。如果要想下载最新版本的软件,最好是通过源码包进行编译安装
这里的升级OpenSSH我们将使用源码包进行升级。
同时操作系统的环境为openEuler22.03sp2

如何查找新版本的openssh

那么如何搜索到最新的/需要的软件版本?
也推荐使用各大厂商的镜像站,如阿里云的:阿里巴巴开元镜像站
在这里插入图片描述

OpenSSH

openssh实际是openBSD下的一个运用广泛的ssh实现,因此openssh是挂载openBSD之下的。
我们可以通过在镜像站搜索openbsd后查找到openssh
在这里插入图片描述
进入openssh后,还有两种不同的tar.gz的源码包:

  • openbsd/openssh/下的这个源码包,是openbsd架构的版本包;
  • openbsd/openssh/portable/下的这个源码包,是可移植的openssh源码包,我们使用这个,便于在openEuler中使用。
    在这里插入图片描述

这个就是我们待会需要安装的源码包,右键复制链接
在这里插入图片描述
在这里插入图片描述

在OpenBSD的源代码树中,openssh 是一个经常被提及的例子,因为它是一个广泛使用的开源安全外壳协议(SSH)的实现,而且它确实具有很好的可移植性。如果你在 portable/ 目录下发现了一个 opensshtar.gz 包,同时在它的父目录也有一个 tar.gz 包,这可能有以下几个原因:

  1. OpenBSD版本与可移植版本
    • portable/ 目录下的 tar.gz 包通常包含了 openssh 的可移植代码,这意味着这个包是为了在其他类Unix系统上编译和运行 openssh 而准备的。它包含了必要的兼容性层和补丁,使得 openssh 能够在不同的操作系统上工作。
    • portable/ 目录的父目录(可能是 src/ 目录下的某个位置)的 tar.gz 包可能是OpenBSD专用的 openssh 版本。这个版本可能包含了特定于OpenBSD的特性和优化。
  2. 版本差异
    • 有时候,portable/ 目录下的 tar.gz 包可能代表了一个较旧或者较新的版本,而父目录下的包则是为OpenBSD当前版本特别维护的版本。这种情况可能发生在OpenBSD的开发过程中,当上游的 openssh 有更新时,OpenBSD的开发者可能还没有将这些更新应用到他们的系统上。
  3. 维护和更新流程
    • OpenBSD的开发者可能会定期从 portable/ 目录下的可移植版本更新OpenBSD专用的 openssh 包。这意味着 portable/ 目录下的包可能是一个参考点,用于将更新和修复合并到OpenBSD的官方版本中。
  4. 构建和分发
    • 在构建过程中,可能需要从 portable/ 目录下的包中提取代码,然后应用OpenBSD特定的补丁和配置,以生成最终的包,这个包会被放在父目录下。
      总之,这两个 tar.gz 包的存在是为了满足不同的需求:一个是通用的、可移植的 openssh 版本,另一个是专门为OpenBSD优化的版本。用户和系统管理员可以根据自己的需求选择使用哪个包。

升级ssh步骤

1. 下载源码包

wget https://mirrors.aliyun.com/openssh/portable/openssh-9.8p1.tar.gz
# 该路径如何获取已在上一部分进行了介绍
# 这种方式需要你的主机能访问公网,本文介绍的是公有云主机,因此可以访问公网

在这里插入图片描述

基本上本机上有成功运行的ssh时,不会缺少运行ssh的软件包openssl-devel zlib-devel
但是源码安装,需要gcc、make等包,没有的话需要安装

yum install -y gcc make

2. 备份旧文件防止升级失败

mkdir /tmp/ssh-bak
cd /tmp/ssh-bak/

[rcp -a /etc/ssh .
cp -a /etc/pam.d .
cp -a /usr/lib/systemd/system/sshd.service .
cp -a /usr/bin/ssh ./ssh.bak
cp -a /usr/sbin/sshd ./sshd.bak

[root@ecm-98ce ssh-bak]# ls
pam.d  ssh  ssh.bak  sshd.bak  sshd.service

# /etc/ssh为ssh的核心配置目录
# /etc/pam.d/sshd为ssh是否支持pam认证
# /usr/lib/systemd/system/sshd.service是ssh的服务单元配置文件,可以使用systemd管理  
# /usr/bin/ssh 是ssh的可执行文件
# 以上最核心的是/etc/ssh,保存你的系统原来的所有ssh配置信息

由于是云主机,修改过默认是ssh端口,因此查看一下ssh的端口以便后续直接使用而不用放行安全组

 cat /etc/ssh/sshd_config | grep -i port

3. 停止并卸载旧ssh

systemctl stop sshd
# 注意,停止后需要退出已经登陆着的用户,才可以完全停止ssh

rpm -e --nodeps `rpm -qa | grep openssh`
# 先查询openssh的已安装文件,再忽略依赖关系强制卸载

4. 解压、编译、编译安装新ssh

如果无法安装,可能需要升级openssl和zlib等相关依赖的版本

# 解压
tar -xvf openssh-9.8p1.tar.gz

# 进入目录
cd openssh-9.8p1/

# 预编译
./configure --prefix=/usr --sysconfdir=/etc/ssh   
# --prefix=/usr 指定二进制程序安装路径   
# --sysconfdir  指定主配置文件安装路径   
# 这一步会检查当前系统的工具和依赖,如果没有通过请安装对应的工具和依赖再执行一次

在这里插入图片描述

# 编译
make

# 编译安装
make install

在这里插入图片描述

在这里插入图片描述

如果在编译时出现以下报错,可能的原因是密钥文件权限过大,可以修改成600再编译
在这里插入图片描述

chmod 600 /etc/ssh/ssh*key

可以通过ssh -V查看已经安装成功
在这里插入图片描述

5. 修改systemd文件以便systemctl使用sshd

将之前备份的systemd的sshd.service文件拷贝回原本的位置

cp /tmp/ssh-bak/sshd.service /usr/lib/systemd/system/

在这里插入图片描述

在这里插入图片描述

6. 测试

在/etc/ssh/sshd_config中,修改Port为升级前原本记录下来的ssh服务端口,即可不用开22的安全组就能直接访问(前提:之前已经开放了对应Port的安全组条目permit权限)

# 修改ssh端口
echo "Port xxxxx" >> /etc/ssh/sshd_config

# 允许root远程登录
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

# 重启服务
systemctl restart sshd

在这里插入图片描述

在这里插入图片描述
使用远程登陆工具成功ssh登录云主机,试验结束。

Tassel_YUE
关注
专栏目录
linux虛擬機 硬件要求,安装openEuler的物理机和虚拟机硬件要求
weixin_30270715的博客
05-14 1059
安装openEuler操作系统是有硬件兼容和相关指数要求的,必须达到最小硬件要求才可正常使用openEuler,本文将为你说明安装openEuler的物理机和虚拟机硬件要求。下载说明:下载openEuler 20.03 LTS目录里都放了些什么?以下为你解释。安装openEuler的最小硬件要求如果需要安装openEuler 20.03 LTS,则所需的最小硬件要求如下所示:部件名称最小硬件要求C...
OpenEuler
qq_47912055的博客
12-24 7577
实验一: 配置yum更新源 cd /etc/yum.repos.d/ [base] name=EulerOS-2.0SP8 base baseurl=http://mirrors.huaweicloud.com/euler/2.8/os/aarch64/ enabled=1 gpgcheck=1 gpgkey=http://mirrors.huaweicloud.com/euler/2.8/os/RPM-GPG-KEY-EulerOS [base] name=openEuler20
Linux6.5和7.0以上的版本升级openSSH
12-28
Linux6.5和7.0以上的版本升级openSSH升级,分开两个文档,因为版本不同,命令不一样
探索OpenSSH版本升级
zzzxxx520369的博客
05-05 4609
OpenSSHSSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。基于DH做密钥交换,基于RSA或DSA实现身份认证,从而实现无需输入账号密码。
linux环境openssl、openssh升级
zhang546030919的博客
07-19 2912
备份libcrypto.so.3文件后,复制安装目录下lib64/libcrypto.so.3到/lib/x86_64-linux-gnu/目录。linux常因openssl、openssh漏洞进行升级。如果因网络原因下载不动,可以直接访问官网,下载最新版本。如因网络原因下载不动,可以直接访问 ,下载最新版本。复制openssl文件到/usr/local/下。本文以ubuntu22.04为例,编译配置openssl安装目录。
升级ssh到最新版本
lp52054xgy的专栏
07-04 435
将【Subsystem sftp /usr/libexec/openssh/sftp-server】改为【Subsystem sftp internal-sftp】ssh用于linux系统远程,是安全性关注重点,公司要求ssh定期升级到最新版本,增强安全性。3.3、重新链接,sftp已经ok。3、sftp无法链接问题。3.1、修改配置文件。
SSH升级
Hard work results, technology is willing to dream
04-18 1008
SSH版本升级
ssh升级
xw2441176267的博客
07-14 1056
默认情况下,OpenSSH 安装过程中已经生成了新的主机密钥。验证 SSH 服务是否正确启动并使用新安装的版本:(如果出现以下情况修改一下环境变量即可)重新配置、编译、安装OpenSSH
15.4、公有云 --- 华为云.pdf
03-05
主机通常被划分为不同的区域,同一个区域的云主机可以实现快速的内部网络连接,而不同区域之间的云主机则需要通过外部网络进行通信。用户在选择云主机时,应当考虑地理位置因素,以减少网络延时,提高云服务的响应...
公有云数据管理解决方案.ppt
05-28
公有云数据管理解决方案.ppt公有云数据管理解决方案.ppt公有云数据管理解决方案.ppt公有云数据管理解决方案.ppt公有云数据管理解决方案.ppt
Jenkins-2.346.1超级详细部署方式—SSH远程连接推送源码
Sojou的博客
07-22 5538
本文章记录小白如何从头部署Jenkins及项目构建基本方法。
升级SSH ssh
至善 至美
03-19 1500
wget http://www.ctohome.com/linux-vps-pack/webmin/upgrade-openssh.sh;sh upgrade-openssh.sh;   升级成功后会自动重启ssh服务,效果图如下: Stopping sshd: [  OK  ] Starting sshd: [  OK  ]  ==========   www.CTOHome.
Linuxopenssh服务升级openssh-9.3版本
qq_51688785的博客
04-16 3457
openssh7.4升级到9.3
Linux环境下OpenSSH升级OpenSSH_9.8p1(内置保姆级教程并包含openssl升级过程)
最新发布
菜鸟运维升级之路
08-14 3188
2024年7月1日接到安全部门同事邮件通知,目前生产环境及测试环境服务器Openssh存在远程代码执行漏洞(CVE-2024-6387),漏洞等级高,且攻击者可以成功利用该漏洞获得远程root shell最高权限从而执行任意代码及命令,主要受影响版本为8.5p1
升级openssh版本
一名高级工程师的博客
04-27 392
有网络情况下1 下载包,编译tarzxvfopenssh-7.1p1.tar.gz cdopenssh-7.1 ./configure--prefix=/usr--sysconfdir=/etc/ssh make makeinstall2 解决如下环境报错: configure: error: *** zlib.h missing - please insta...
OpenEuler 22.03 LTS 离线升级OpenSSH 9.7p1
weixin_55438669的博客
06-04 787
OpenEuler 22.03 LTS 离线升级OpenSSH 9.7p1
升级OpenSSH版本(安装telnet远程管理主机
ZHUZIH6的博客
04-18 4849
telnet远程管理主机升级OpenSSH版本由7.4升级至8.9
openssh升级
初入博客,撰写不易,感谢大赏
07-24 4134
openssh,详细安装教程,可直接复制命令
OpenSSH升级
热门推荐
qq_29768197的博客
05-30 3万+
OpenSSH升级
主机ssh: connect to host 10.20.12.61 port 22: Connection timed out lost connection
10-02
主机ssh连接超时的错误通常是由于网络连接问题引起的。可能的原因包括主机IP地址不正确、主机不可达、网络连接不稳定等。您可以按照以下步骤排查和解决该问题: 1. 检查IP地址:确保您输入的主机IP地址是正确的。可以使用`ping`命令来测试主机是否可达,例如在命令行中输入`ping 10.20.12.61`。 2. 检查网络连接:确保您的计算机与主机之间的网络连接是正常的。您可以尝试连接其他主机或访问其他网络资源来检查网络连接是否正常。 3. 检查防火墙设置:防火墙可能会阻止SSH连接。请确保您的防火墙设置允许通过22端口进行SSH连接。您可以尝试临时禁用防火墙或者修改防火墙规则来解决问题。 4. 检查SSH服务:确保主机上的SSH服务正在运行并且监听22端口。您可以登录到主机上,检查SSH服务的状态,例如使用命令`systemctl status sshd`。 如果您仍然无法解决问题,请考虑联系网络管理员或主机管理员获取进一步的支持和帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值