不盲目跟别人。源码升级openssh

已于 2022-07-16 23:40:24 修改
阅读量2k 收藏 1
点赞数 1
文章标签: ssh 源码
于 2019-03-24 01:02:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudfantasy/article/details/88587212
版权

为了应付等保,本人借助vmware,测试升级openssh,数不清次数了,总结以下内容

CentOSopenssl 1.0.2*openssl 1.1.1*openssh 8.*openssh 9.*
5.*srcsrcsrc
6.*srcsrcsrc
7.*srcsrcsrc
8.*dnf updatesrcsrc

编译环境

yum install -y make gcc

telnet

1.1. centos5, centos6

yum install -y xinetd

vim /etc/xinetd.d/telnet

disable yes -> no

chkconfig xinetd on   ;\
service xinetd restart

1.2. centos7, centos8

yum install -y telnet*

systemctl enable telnet.socket;\
systemctl start  telnet.socket

2-1. 允许root登录,否则要登录其他账号再su到root

mv /etc/securetty /etc/securetty.org

PAM

如果源码安装了,就不用这一步,但是我不会源码装pam

yum install -y pam-devel

zlib

zlib很久没更新了,后面 openssh* config时候要找zlib.h

  1. 不源码
yum install -y zlib-devel
  1. 源码。要把源码安装后的动态库load进内存,才能找到zlib.h
    官网:http://www.zlib.net
    最新:http://www.zlib.net/zlib-1.2.11.tar.gz

README中并没有要求单独执行"make"

To compile all files and run the test program, follow the instructions given at
the top of Makefile.in. In short “./configure; make test”, and if that goes
well, “make install” should work for most flavors of Unix.

默认位置

tar xzf zlib-1.2.12.tar.gz ;\
cd zlib-1.2.12             ;\
./configure                ;\
make install

把动态库load进内存

echo '/usr/local/lib' > /etc/ld.so.conf.d/usr_local_lib.conf;\
ldconfig

load进内存后,rhel5的gnome桌面就完蛋啦~

不默认位置。prefix=/usr/local/zlib

./configure --prefix=/usr/local/zlib ;\
make install

openssl 通过–with-zlib-lib=/usr/local/zlib/lib --with-zlib-include=/usr/local/zlib/include 通过编译
openssh 通过–with-zlib=/usr/local/zlib 完成编译

openssl

官网:https://www.openssl.org/
1.0当前最新:https://www.openssl.org/source/old/1.0.2/openssl-1.0.2u.tar.gz
1.1当前最新:https://www.openssl.org/source/openssl-1.1.1n.tar.gz

在openssh/INSTALL文件中有说明支持的openssl版本

  • OpenSSL (https://www.openssl.org) with any of the following versions:
    1.0.x >= 1.0.1 or 1.1.0 >= 1.1.0g or any 1.1.1
openssl version
  1. 系统原版本如果1.0,操作系统centos/rhel 5 可以源码装最新1.0

我最重要的生产环境是RHEL5.8 x390,用 CentOS 5.11 x86_64测试升级,openssl-1.1.0g在./config阶段已经报错,要求perl 5.10(CentOS 5.11 Final: Perl 5.8.8),及不支持系统。以下为报错信息

Operating system: x86_64-whatever-linux2
Perl v5.10.0 required–this is only v5.8.8, stopped at ./Configure line 12.
BEGIN failed–compilation aborted at ./Configure line 12.
Perl v5.10.0 required–this is only v5.8.8, stopped at ./Configure line 12.
BEGIN failed–compilation aborted at ./Configure line 12.
This system (linux-x86_64) is not supported. See file INSTALL for details.

  1. 系统原版本如果1.0,操作系统centos/rhel 6.* ~ 8.0,可以源码装最新1.1
  2. 系统原版本如果1.1(centos/rhel 8.1开始),不要装源码(准确点说不要把源码安装后的环境load进系统),装了重启就进不去了
  1. openssl-1.0.2*
tar xf openssl-1.0.2u.tar.gz; \
cd openssl-1.0.2u; \
./config shared; \
make; \
make install
  1. openssl-1.1.1*
tar xf openssl-1.1.1n.tar.gz; \
cd openssl-1.1.1n; \
./config; \
make; \
make install

网上其他教程里看到有人./config shared zlib-dynamic
openssh INSTALL里说了添加 -fPIC
到底要不要 shared?zib-dyn?-fPIC?

rhel 5.6 + openssl 1.0.2u 测试:
zlib-dyn 让openssl执行文件和libcrypto.a库大了一点,但是目录结构没变
shared 除了上面两个尺寸,lib下真正增加了libcrypto, libssl 一系列动态库
所以我觉得 <要>shared, <不要>zlib-dynamic
-fPIC 是默认参数,不用手动添加

centos 6.10 / centos.7.6.1810 + openssl 1.1.1k 测试
shared 有和没有安装过程无异,安装后 ldd 命令查询依赖关系无异
zlib-dyn 编译过程部分gcc命令多了“-DZLIB -DZLIB_SHARED”参数,安装完后openssl执行文件、libcrypto.a和libcrypto.so.1.1库都大一点,目录结构没有不同,ldd 查询依赖关系也没不同
所以我觉得 <不用>shared,<不用>zlib-dynamic

  1. 找到动态库位置,load进内存
    centos5,6
    动态库(libcrypto.a, libssl.a)在默认安装目录的lib下/usr/local/ssl/lib
echo '/usr/local/ssl/lib' > /etc/ld.so.conf.d/openssl.conf; \
ldconfig

centos7
动态库在 /usr/local/lib64 或者 /usr/local/lib下
如果存在/usr/local/lib64,动态库会放在这个目录,否则,动态库放在/usr/local/lib。
使用 make uninstall卸载,如果清除完动态库后目录空,会把该目录也删除了
例如:centos7安装完后默认存在/usr/local/lib64的空目录,首次源码安装openssl,动态库会放这里。如果后来用make uninstall删除,lib64会跟着删除,下次./config时候,动态库就不会放lib64而放lib

echo '/usr/local/lib64' > /etc/ld.so.conf.d/usr_local_lib64.conf; \
ldconfig

openssh

官网:http://www.openssh.com/
当前最新版:https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-7.9.tar.gz
解压

tar xf openssh-9.0p1.tar.gz
cd openssh-9*

默认位置(/usr/local),但是配置文件仍然设置在常见位置(/etc/ssh)。

之前学别人添加了 --with-md5-passwords,在最新9在config阶段已经提示不识别了,所以去掉

./configure --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/ssl --with-zlib=/usr/local;\
make

移开原始配置目录

mv /etc/ssh /etc/ssh_$sshver

安装

make install

配置sshd_config

vim /etc/ssh/sshd_config

让root可以登录
32行:PermitRootLogin yes
让secureCRT可以通过Xmanager被动模式启动图形界面
90行:X11Forwarding yes

之前我会修改服务配置文件,指定到新执行文件位置,后来装oracle时候发现它会在固定位置找执行文件,所以最后还是乖乖替换执行文件吧
编辑脚本里2个执行文件位置
vim /etc/init.d/sshd
25行:SSHD=/usr/local/sbin/sshd
41行:/usr/local/bin/ssh-keygen -A

首次源码更新,备份原始执行文件。因为创建了软链接,以后更新不用备份快捷方式了

mv /usr/bin/scp             /usr/bin/scp_$sshver         ;\
mv /usr/bin/sftp            /usr/bin/sftp_$sshver        ;\
mv /usr/bin/ssh             /usr/bin/ssh_$sshver         ;\
mv /usr/bin/ssh-add         /usr/bin/ssh-add_$sshver     ;\
mv /usr/bin/ssh-agent       /usr/bin/ssh-agent_$sshver   ;\
mv /usr/bin/ssh-keygen      /usr/bin/ssh-keygen_$sshver  ;\
mv /usr/bin/ssh-keyscan     /usr/bin/ssh-keyscan_$sshver ;\
mv /usr/sbin/sshd           /usr/sbin/sshd_$sshver       ;\

ln -s /usr/local/bin/scp          /usr/bin/scp           ;\
ln -s /usr/local/bin/sftp         /usr/bin/sftp          ;\
ln -s /usr/local/bin/ssh          /usr/bin/ssh           ;\
ln -s /usr/local/bin/ssh-add      /usr/bin/ssh-add       ;\
ln -s /usr/local/bin/ssh-agent    /usr/bin/ssh-agent     ;\
ln -s /usr/local/bin/ssh-keygen   /usr/bin/ssh-keygen    ;\
ln -s /usr/local/bin/ssh-keyscan  /usr/bin/ssh-keyscan   ;\
ln -s /usr/local/sbin/sshd        /usr/sbin/sshd

ssh-copy-id 好像有点特别,make install后没在bin目录,在contrib里,没有x属性,所以单独处理:每次备份,复制,授权

mv /usr/bin/ssh-copy-id     /usr/bin/ssh-copy-id_$sshver ;\
cp contrib/ssh-copy-id      /usr/bin/ssh-copy-id         ;\
chmod +x /usr/bin/ssh-copy-id
替换service启动脚本
centos7,8刚开始没有/etc/init.d/sshd这个启动脚本,而是/usr/lib/systemd/system里的东西
systemctl disable sshd;\
systemctl stop    sshd;\

mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service_$sshver;\
mv /usr/lib/systemd/system/sshd.socket  /usr/lib/systemd/system/sshd.socket_$sshver
mv /etc/init.d/sshd /etc/init.d/sshd_$sshver    ;\
cp contrib/redhat/sshd.init /etc/init.d/sshd    ;\

systemctl start  sshd;\
systemctl enable sshd;\
systemctl status sshd
centos5,6
chkconfig sshd off                              ;\
service sshd stop                               ;\
mv /etc/init.d/sshd /etc/init.d/sshd_$sshver    ;\
cp contrib/redhat/sshd.init /etc/init.d/sshd    ;\
service sshd start                              ;\
chkconfig sshd on                               ;\
service sshd status

尝试登录一次,产生一条selinux信息

ssh localhost
@@@@@ /bin/bash: Permission denied
@@@@@ Connection to localhost closed.

mkdir /opt/selinux; cd /opt/selinux ;\
ausearch -c 'sshd' --raw | audit2allow -M my-sshd; semodule -X 300 -i my-sshd.pp
cloudfantasy
关注
openssh升级_Redhat 6.5源码编译升级openssh到7.8版本
weixin_39907133的博客
12-06 289
1.检验升级OpenSSH依赖的相关组件[root@web02 /]# rpm -qa | grep gcc[root@web02 /]# rpm -qa | grep zlib-devel[root@web02 /]# rpm -qa | grep openssl-devel[root@web02 /]# rpm -qa | grep pam-devel如没有,直接用yum安装。[r...
升级OpenSSH_7.4p1完整源码
06-12
Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求,建议将其升级到最新的OpenSSH版本。OpenSSH需要依赖ZLIB和OpenSSL,因此需要从下载三者的源码包。需要注意的是:OpenSSH最新版7.4p1依赖的OpenSSL版本为1.0.2k,而不是其最新版1.1.0e(使用此版会升级失败),ZLIB可以使用最新版1.2.11。redhat6.7自带的zlib版本为1.2.3,也可不进行升级
Linux Openssh源码升级
02-26 188
telnet服务 yum install -y telnet-server xinetd systemctl start xinetd systemctl start telnet.socket #监听端口23,升级实施完应关闭telnet服务 安装zlib包 zlib 是通用的压缩库,提供了一套 in-memory 压缩和解压函数,并能检测解压出来的数据的完整性(i...
在Linux中进行OpenSSH升级_linuxopenssh升级
2401_87034019的博客
09-11 900
命令:mv /etc/security /etc/security.bak命令:yum -y install gcc keyutils-libs rpm-build krb5-devel libcom_err-devel libselinux-devel pam-* openssl-devel pkgconfig vsftpd zlib*命令:mv /etc/ssh /etc/ssh.bak。
Ubuntu20.04升级openssh9.4(源码升级
一个标题
02-27 2535
Ubuntu20.04升级openssh9.4(源码升级
openSSH_SSL源码升级夹包
12-18
Linux服务器 1,OpenSSH升级openssh-7.5p1.tar.gz 2,opneSSL升级到 openssl-1.0.2j.tar.gz
升级openssh到8.3
06-29
升级 OpenSSH 到 8.3 OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux 和 Unix 系统中。在本文中,我们将介绍如何升级 OpenSSH 到 8.3 版本。 为什么升级 OpenSSH OpenSSH 是一个基于 SSH协议的安全远程...
源码编译升级OpenSSH脚本
最新发布
09-19
该脚本支持红帽、CentOS、Rocky、Ubantu、Debian系系统openssh升级
Centos7升级OpenSSH版本至9.6p1
01-17
貌似9.6P1以下版本都会受到影响,与之相关的可利用漏洞标记有:CVE-2023-48795、CVE-2023-46445、CVE-2023-46446,今天趁着周末时间更新一个针对RPM系与DEB系Linux系统源码安装OpenSSHServer 9.6P1版本的教程,...
openssh相关源码
09-12
本篇文章将深入探讨OpenSSH源码分析,以及如何使用提供的源码进行交叉编译以在开发板上搭建SSH服务器。 首先,我们来看看三个关键组件: 1. **zlib-1.2.2.tar.gz**: 这是zlib库的源代码,一个高效的压缩和解压缩...
麒麟Linux升级openssh-9.7p1脚本
03-21
运行脚本就可以升级openssh至9.7 如果报错,先对脚本进行转码:dos2unix openssh/update_ssh.sh 在运行脚本 操作系统: Operating System:Kylin Linux Advanced Server V10 Kernel: Linux 4.19.90-52.22.v2207.ky10...
手动(源代码)安装openssh
03-30
ubuntu系统手动安装openssh,方法详细
OpenSSH升级OpenSSH7.7版本
07-11
在远程主机上运行的SSH服务器版本过低受到多个漏洞的影响。现在应安全要求需要升级OpenSSH6.9或者更高版本。网上收集资料和整理离线安装包。
openssh8.1升级
05-20
该安装软件包是基于centos6.6,openssh8.1编译的,其他linux版本不保证好用,请慎重下载
centos 7 源码安装openssh的方法
01-09
环境:centos 7.1.1503 最小化安装 依赖包下载: yum -y install lrzsz zlib-devel perl gcc pam-devel 1、安装openssl ,选用最新发布的版本:openssl-1.1.1g.tar.gz 1)openssl下载地址:https://www.openssl.org/source/openssl-1.1.1g.tar.gz 2)卸载系统预装的openssl ,这一步可以不做 rpm -qa | grep openssl | grep -v lib yum -y remove openssl-1.0.1e-42.el7.x86_64
RHEL源码编译安装openssl openssh7.4方法
01-01
LINUX源码升级openssl openssh,安全可靠,步骤详细。
openssl+openssh源码升级详细配置(Redhat)
弹壳的专栏
10-11 1849
注:以下红色字体表强调。 一、升级openssl 0. 首先通过 #openssl version –a查看系统中存在的OpenSSL版本号 (如安装完成新版本后需卸载老版本:#rpm -e --allmatches --nodeps openssl…)—我未卸载 1. 通过#wgethttp://www.openssl.org/source/openssl-0.9.8g.tar.gz获得...
升级openssh9.8p1版本
2301_77508322的博客
07-20 955
影响范围:OpenSSH < 4.4p1(未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁)8.5p1 <= OpenSSH < 9.8p1。2024 年 7 月 1 日, OpenSSH 官方发布安全通告,披露 CVE-2024-6387 OpenSSH Server 远程代码执行漏洞。官方网址下载最新版本:openssh-9.8p1.tar.gz。内核版本:3.10.0-1160.el7.x86_64。服务重启,ssh正常连接,测试没有问题;CPU架构:x86_64。
离线源码升级openssh7.4到openssh7.9详解
kouryoushine的博客
04-09 2910
背景 公司有几台linux服务器,漏洞扫描时 OpenSSH 用户枚举漏洞(CVE-2018-15919) 需要把openssh升级到7.9。 我之前已经做过从openssh5.X版本到7.4版本的升级。所以很多工作不需要重复做。只需要升级openssh即可。 完全离线安装,系统centos7和redhadt5.0 升级条件 如果你现在已经是7.4版本的理论上,可以直接升级openssh即可。不...
openssh源码升级
05-20
升级 OpenSSH 源代码的步骤如下: 1. 下载最新版本的 OpenSSH 源代码,并解压缩。 2. 从当前系统中复制现有的配置文件和密钥文件,以便在升级后重新使用。可以使用以下命令找到这些文件: ``` $ sudo find /etc/ssh /usr/local/etc/ssh -name "*.conf" -o -name "*.pub" -o -name "*.key" ``` 3. 进入解压缩后的 OpenSSH 代码目录,运行以下命令进行编译和安装: ``` $ ./configure $ make $ sudo make install ``` 4. 如果有必要,手动更新 SSH 配置文件,将旧的配置项移动到新的配置文件位置。 5. 将之前备份的密钥文件复制回新的 OpenSSH 目录,并确认权限和所有权设置正确。 6. 重启 SSH 服务并测试正常工作。 注意:在进行任何更改之前,请备份所有关键文件。如果您不熟悉编译和安装软件,最好先了解相关技能再进行升级
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值