不盲目跟别人。源码升级openssh

已于 2022-07-16 23:40:24 修改
阅读量1.9k 收藏 1
点赞数 1
文章标签: ssh 源码
于 2019-03-24 01:02:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudfantasy/article/details/88587212
版权

为了应付等保,本人借助vmware,测试升级openssh,数不清次数了,总结以下内容

CentOSopenssl 1.0.2*openssl 1.1.1*openssh 8.*openssh 9.*
5.*srcsrcsrc
6.*srcsrcsrc
7.*srcsrcsrc
8.*dnf updatesrcsrc

编译环境

yum install -y make gcc

telnet

1.1. centos5, centos6

yum install -y xinetd

vim /etc/xinetd.d/telnet

disable yes -> no

chkconfig xinetd on   ;\
service xinetd restart

1.2. centos7, centos8

yum install -y telnet*

systemctl enable telnet.socket;\
systemctl start  telnet.socket

2-1. 允许root登录,否则要登录其他账号再su到root

mv /etc/securetty /etc/securetty.org

PAM

如果源码安装了,就不用这一步,但是我不会源码装pam

yum install -y pam-devel

zlib

zlib很久没更新了,后面 openssh* config时候要找zlib.h

  1. 不源码
yum install -y zlib-devel
  1. 源码。要把源码安装后的动态库load进内存,才能找到zlib.h
    官网:http://www.zlib.net
    最新:http://www.zlib.net/zlib-1.2.11.tar.gz

README中并没有要求单独执行"make"

To compile all files and run the test program, follow the instructions given at
the top of Makefile.in. In short “./configure; make test”, and if that goes
well, “make install” should work for most flavors of Unix.

默认位置

tar xzf zlib-1.2.12.tar.gz ;\
cd zlib-1.2.12             ;\
./configure                ;\
make install

把动态库load进内存

echo '/usr/local/lib' > /etc/ld.so.conf.d/usr_local_lib.conf;\
ldconfig

load进内存后,rhel5的gnome桌面就完蛋啦~

不默认位置。prefix=/usr/local/zlib

./configure --prefix=/usr/local/zlib ;\
make install

openssl 通过–with-zlib-lib=/usr/local/zlib/lib --with-zlib-include=/usr/local/zlib/include 通过编译
openssh 通过–with-zlib=/usr/local/zlib 完成编译

openssl

官网:https://www.openssl.org/
1.0当前最新:https://www.openssl.org/source/old/1.0.2/openssl-1.0.2u.tar.gz
1.1当前最新:https://www.openssl.org/source/openssl-1.1.1n.tar.gz

在openssh/INSTALL文件中有说明支持的openssl版本

  • OpenSSL (https://www.openssl.org) with any of the following versions:
    1.0.x >= 1.0.1 or 1.1.0 >= 1.1.0g or any 1.1.1
openssl version
  1. 系统原版本如果1.0,操作系统centos/rhel 5 可以源码装最新1.0

我最重要的生产环境是RHEL5.8 x390,用 CentOS 5.11 x86_64测试升级,openssl-1.1.0g在./config阶段已经报错,要求perl 5.10(CentOS 5.11 Final: Perl 5.8.8),及不支持系统。以下为报错信息

Operating system: x86_64-whatever-linux2
Perl v5.10.0 required–this is only v5.8.8, stopped at ./Configure line 12.
BEGIN failed–compilation aborted at ./Configure line 12.
Perl v5.10.0 required–this is only v5.8.8, stopped at ./Configure line 12.
BEGIN failed–compilation aborted at ./Configure line 12.
This system (linux-x86_64) is not supported. See file INSTALL for details.

  1. 系统原版本如果1.0,操作系统centos/rhel 6.* ~ 8.0,可以源码装最新1.1
  2. 系统原版本如果1.1(centos/rhel 8.1开始),不要装源码(准确点说不要把源码安装后的环境load进系统),装了重启就进不去了
  1. openssl-1.0.2*
tar xf openssl-1.0.2u.tar.gz; \
cd openssl-1.0.2u; \
./config shared; \
make; \
make install
  1. openssl-1.1.1*
tar xf openssl-1.1.1n.tar.gz; \
cd openssl-1.1.1n; \
./config; \
make; \
make install

网上其他教程里看到有人./config shared zlib-dynamic
openssh INSTALL里说了添加 -fPIC
到底要不要 shared?zib-dyn?-fPIC?

rhel 5.6 + openssl 1.0.2u 测试:
zlib-dyn 让openssl执行文件和libcrypto.a库大了一点,但是目录结构没变
shared 除了上面两个尺寸,lib下真正增加了libcrypto, libssl 一系列动态库
所以我觉得 <要>shared, <不要>zlib-dynamic
-fPIC 是默认参数,不用手动添加

centos 6.10 / centos.7.6.1810 + openssl 1.1.1k 测试
shared 有和没有安装过程无异,安装后 ldd 命令查询依赖关系无异
zlib-dyn 编译过程部分gcc命令多了“-DZLIB -DZLIB_SHARED”参数,安装完后openssl执行文件、libcrypto.a和libcrypto.so.1.1库都大一点,目录结构没有不同,ldd 查询依赖关系也没不同
所以我觉得 <不用>shared,<不用>zlib-dynamic

  1. 找到动态库位置,load进内存
    centos5,6
    动态库(libcrypto.a, libssl.a)在默认安装目录的lib下/usr/local/ssl/lib
echo '/usr/local/ssl/lib' > /etc/ld.so.conf.d/openssl.conf; \
ldconfig

centos7
动态库在 /usr/local/lib64 或者 /usr/local/lib下
如果存在/usr/local/lib64,动态库会放在这个目录,否则,动态库放在/usr/local/lib。
使用 make uninstall卸载,如果清除完动态库后目录空,会把该目录也删除了
例如:centos7安装完后默认存在/usr/local/lib64的空目录,首次源码安装openssl,动态库会放这里。如果后来用make uninstall删除,lib64会跟着删除,下次./config时候,动态库就不会放lib64而放lib

echo '/usr/local/lib64' > /etc/ld.so.conf.d/usr_local_lib64.conf; \
ldconfig

openssh

官网:http://www.openssh.com/
当前最新版:https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-7.9.tar.gz
解压

tar xf openssh-9.0p1.tar.gz
cd openssh-9*

默认位置(/usr/local),但是配置文件仍然设置在常见位置(/etc/ssh)。

之前学别人添加了 --with-md5-passwords,在最新9在config阶段已经提示不识别了,所以去掉

./configure --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/ssl --with-zlib=/usr/local;\
make

移开原始配置目录

mv /etc/ssh /etc/ssh_$sshver

安装

make install

配置sshd_config

vim /etc/ssh/sshd_config

让root可以登录
32行:PermitRootLogin yes
让secureCRT可以通过Xmanager被动模式启动图形界面
90行:X11Forwarding yes

之前我会修改服务配置文件,指定到新执行文件位置,后来装oracle时候发现它会在固定位置找执行文件,所以最后还是乖乖替换执行文件吧
编辑脚本里2个执行文件位置
vim /etc/init.d/sshd
25行:SSHD=/usr/local/sbin/sshd
41行:/usr/local/bin/ssh-keygen -A

首次源码更新,备份原始执行文件。因为创建了软链接,以后更新不用备份快捷方式了

mv /usr/bin/scp             /usr/bin/scp_$sshver         ;\
mv /usr/bin/sftp            /usr/bin/sftp_$sshver        ;\
mv /usr/bin/ssh             /usr/bin/ssh_$sshver         ;\
mv /usr/bin/ssh-add         /usr/bin/ssh-add_$sshver     ;\
mv /usr/bin/ssh-agent       /usr/bin/ssh-agent_$sshver   ;\
mv /usr/bin/ssh-keygen      /usr/bin/ssh-keygen_$sshver  ;\
mv /usr/bin/ssh-keyscan     /usr/bin/ssh-keyscan_$sshver ;\
mv /usr/sbin/sshd           /usr/sbin/sshd_$sshver       ;\

ln -s /usr/local/bin/scp          /usr/bin/scp           ;\
ln -s /usr/local/bin/sftp         /usr/bin/sftp          ;\
ln -s /usr/local/bin/ssh          /usr/bin/ssh           ;\
ln -s /usr/local/bin/ssh-add      /usr/bin/ssh-add       ;\
ln -s /usr/local/bin/ssh-agent    /usr/bin/ssh-agent     ;\
ln -s /usr/local/bin/ssh-keygen   /usr/bin/ssh-keygen    ;\
ln -s /usr/local/bin/ssh-keyscan  /usr/bin/ssh-keyscan   ;\
ln -s /usr/local/sbin/sshd        /usr/sbin/sshd

ssh-copy-id 好像有点特别,make install后没在bin目录,在contrib里,没有x属性,所以单独处理:每次备份,复制,授权

mv /usr/bin/ssh-copy-id     /usr/bin/ssh-copy-id_$sshver ;\
cp contrib/ssh-copy-id      /usr/bin/ssh-copy-id         ;\
chmod +x /usr/bin/ssh-copy-id
替换service启动脚本
centos7,8刚开始没有/etc/init.d/sshd这个启动脚本,而是/usr/lib/systemd/system里的东西
systemctl disable sshd;\
systemctl stop    sshd;\

mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service_$sshver;\
mv /usr/lib/systemd/system/sshd.socket  /usr/lib/systemd/system/sshd.socket_$sshver
mv /etc/init.d/sshd /etc/init.d/sshd_$sshver    ;\
cp contrib/redhat/sshd.init /etc/init.d/sshd    ;\

systemctl start  sshd;\
systemctl enable sshd;\
systemctl status sshd
centos5,6
chkconfig sshd off                              ;\
service sshd stop                               ;\
mv /etc/init.d/sshd /etc/init.d/sshd_$sshver    ;\
cp contrib/redhat/sshd.init /etc/init.d/sshd    ;\
service sshd start                              ;\
chkconfig sshd on                               ;\
service sshd status

尝试登录一次,产生一条selinux信息

ssh localhost
@@@@@ /bin/bash: Permission denied
@@@@@ Connection to localhost closed.

mkdir /opt/selinux; cd /opt/selinux ;\
ausearch -c 'sshd' --raw | audit2allow -M my-sshd; semodule -X 300 -i my-sshd.pp
cloudfantasy
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssh升级_Redhat 6.5源码编译升级openssh到7.8版本
weixin_39907133的博客
12-06 261
1.检验升级OpenSSH依赖的相关组件[root@web02 /]# rpm -qa | grep gcc[root@web02 /]# rpm -qa | grep zlib-devel[root@web02 /]# rpm -qa | grep openssl-devel[root@web02 /]# rpm -qa | grep pam-devel如没有,直接用yum安装。[r...
openssl+openssh源码升级详细配置(Redhat)
弹壳的专栏
10-11 1812
注:以下红色字体表强调。 一、升级openssl 0. 首先通过 #openssl version –a查看系统中存在的OpenSSL版本号 (如安装完成新版本后需卸载老版本:#rpm -e --allmatches --nodeps openssl…)—我未卸载 1. 通过#wgethttp://www.openssl.org/source/openssl-0.9.8g.tar.gz获得...
Linux OpenSSH最新版9.7p1升级操作详细教程
YooYee233的博客
05-31 1060
执行步骤3时我这报了个“FirewallD is not running”的错误,表示防火墙未开启,正常开启防火墙,然后再执行步骤3即可(如果没步骤三没报错,直接执行步骤4即可)本次以测试服务器为例讲解,系统为Centos8.0 版本,升级OpenSSH版本8.0p1,OpenSSL版本1.1.1k,案例仅供更新参考,其他系统及版本请自行测试。备注:很多服务器都是远程操作无法现场,安装telnet目的是防止SSH升级失败造成无法登录情况,telnet安全性不好,最后需关闭或卸载服务。
升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结
最新发布
fish332的博客
06-04 2371
近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的openssh和openssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此记录下来,供有需要的人参考。
2024年运维最全在Linux中进行OpenSSH升级_linuxopenssh升级,腾讯Linux运维开发面试记录
m0_61549353的博客
05-10 828
最全的Linux教程,Linux从入门到精通第一份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
升级OpenSSH_7.4p1完整源码
06-12
Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求,建议将其升级到最新的OpenSSH版本。OpenSSH需要依赖ZLIB和OpenSSL,因此需要从下载三者的源码包。需要注意的是:OpenSSH最新版7.4p1依赖的OpenSSL版本为1.0.2k,而不是其最新版1.1.0e(使用此版会升级失败),ZLIB可以使用最新版1.2.11。redhat6.7自带的zlib版本为1.2.3,也可不进行升级
Linux Openssh源码升级
02-26 167
telnet服务 yum install -y telnet-server xinetd systemctl start xinetd systemctl start telnet.socket #监听端口23,升级实施完应关闭telnet服务 安装zlib包 zlib 是通用的压缩库,提供了一套 in-memory 压缩和解压函数,并能检测解压出来的数据的完整性(i...
openSSH_SSL源码升级夹包
12-18
Linux服务器 1,OpenSSH升级openssh-7.5p1.tar.gz 2,opneSSL升级到 openssl-1.0.2j.tar.gz
Centos7升级OpenSSH版本至9.6p1
01-17
貌似9.6P1以下版本都会受到影响,与之相关的可利用漏洞标记有:CVE-2023-48795、CVE-2023-46445、CVE-2023-46446,今天趁着周末时间更新一个针对RPM系与DEB系Linux系统源码安装OpenSSHServer 9.6P1版本的教程,...
centos7离线升级openssh9.4包含升级脚本
09-15
本文将详细介绍如何在CentOS7系统上离线升级OpenSSH 9.4,以及如何使用提供的升级脚本来简化这一过程。 首先,我们要理解的是OpenSSH的版本升级对于系统的安全性至关重要。OpenSSH的每次更新都会修复已知的安全...
openssh相关源码
09-12
本篇文章将深入探讨OpenSSH源码分析,以及如何使用提供的源码进行交叉编译以在开发板上搭建SSH服务器。 首先,我们来看看三个关键组件: 1. **zlib-1.2.2.tar.gz**: 这是zlib库的源代码,一个高效的压缩和解压缩...
手动(源代码)安装openssh
03-30
ubuntu系统手动安装openssh,方法详细
OpenSSH升级OpenSSH7.7版本
07-11
在远程主机上运行的SSH服务器版本过低受到多个漏洞的影响。现在应安全要求需要升级OpenSSH6.9或者更高版本。网上收集资料和整理离线安装包。
openssh8.1升级
05-20
该安装软件包是基于centos6.6,openssh8.1编译的,其他linux版本不保证好用,请慎重下载
centos 7 源码安装openssh的方法
01-09
环境:centos 7.1.1503 最小化安装 依赖包下载: yum -y install lrzsz zlib-devel perl gcc pam-devel 1、安装openssl ,选用最新发布的版本:openssl-1.1.1g.tar.gz 1)openssl下载地址:https://www.openssl.org/source/openssl-1.1.1g.tar.gz 2)卸载系统预装的openssl ,这一步可以不做 rpm -qa | grep openssl | grep -v lib yum -y remove openssl-1.0.1e-42.el7.x86_64
RHEL源码编译安装openssl openssh7.4方法
01-01
LINUX源码升级openssl openssh,安全可靠,步骤详细。
麒麟Linux升级openssh-9.7p1脚本
03-21
运行脚本就可以升级openssh至9.7 如果报错,先对脚本进行转码:dos2unix openssh/update_ssh.sh 在运行脚本 操作系统: Operating System:Kylin Linux Advanced Server V10 Kernel: Linux 4.19.90-52.22.v2207.ky10...
升级openssh到8.3
06-29
升级 OpenSSH 到 8.3 OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux 和 Unix 系统中。在本文中,我们将介绍如何升级 OpenSSH 到 8.3 版本。 为什么升级 OpenSSH OpenSSH 是一个基于 SSH协议的安全远程...
离线源码升级openssh7.4到openssh7.9详解
kouryoushine的博客
04-09 2871
背景 公司有几台linux服务器,漏洞扫描时 OpenSSH 用户枚举漏洞(CVE-2018-15919) 需要把openssh升级到7.9。 我之前已经做过从openssh5.X版本到7.4版本的升级。所以很多工作不需要重复做。只需要升级openssh即可。 完全离线安装,系统centos7和redhadt5.0 升级条件 如果你现在已经是7.4版本的理论上,可以直接升级openssh即可。不...
openssh源码升级
05-20
升级 OpenSSH 源代码的步骤如下: 1. 下载最新版本的 OpenSSH 源代码,并解压缩。 2. 从当前系统中复制现有的配置文件和密钥文件,以便在升级后重新使用。可以使用以下命令找到这些文件: ``` $ sudo find /etc/ssh /usr/local/etc/ssh -name "*.conf" -o -name "*.pub" -o -name "*.key" ``` 3. 进入解压缩后的 OpenSSH 代码目录,运行以下命令进行编译和安装: ``` $ ./configure $ make $ sudo make install ``` 4. 如果有必要,手动更新 SSH 配置文件,将旧的配置项移动到新的配置文件位置。 5. 将之前备份的密钥文件复制回新的 OpenSSH 目录,并确认权限和所有权设置正确。 6. 重启 SSH 服务并测试正常工作。 注意:在进行任何更改之前,请备份所有关键文件。如果您不熟悉编译和安装软件,最好先了解相关技能再进行升级

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值