一、升级背景
龙蜥8.8操作系统自带的openssh版本为8.0,被扫出openssh的漏洞,故升级最新版本整改漏洞。
二、升级注意事项
1.龙蜥操作系统自带了openssl 1.1.1k,所以无需安装其他版本的openssl,以免导致冲突
2.升级前先备份openssh的配置文件目录,多打开一个会话窗口保持ssh连接,为了保险起见建议打开telnet服务,防止升级失败openssh无法启动导致远程不到服务器。
3.编译安装时如提示缺少一些文件导致安装报错,可通过yum工具进行依赖包的安装
三、升级步骤
1.配置文件备份
mv /etc/ssh /etc/ssh20240408
cp /etc/pam.d/sshd /etc/pam.d/sshd20240408
2.移除系统自带的openssh
yum remove openssh
3.编译安装openssh
#解压openssh安装包
tar -zxvf openssh-9.7p1.tar.gz
#编译安装
cd /data/openssh/openssh-9.7p1/
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib=/usr/lib --with-ssl-dir=/etc/pki/tls --with-pam
make && make install
#生成ssh服务管理脚本并且开启自启动
install -m644 contrib/redhat/sshd.pam /etc/pam.d/sshd
cp contrib/redhat/sshd.init /etc/init.d/sshd
chmod a+x /etc/init.d/sshd
chkconfig --add sshd
#启动服务
service sshd start
#版本查看
ssh -V
可以看到已经升级到了最新版本:
OpenSSH_9.7p1, OpenSSL 1.1.1k FIPS 25 Mar 2021
#配置文件还原(此步根据自己实际情况考虑是否执行,我这边现场环境做过一些特别的配置,所以需要还原之前的配置)
cat /etc/ssh20240408/sshd_config >/etc/ssh/sshd_config
cat /etc/pam.d/sshd20240408 >/etc/pam.d/sshd
#重启服务
service sshd restart