升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结

已于 2024-06-04 20:07:39 修改
阅读量3.2k 收藏 22
点赞数 17
分类专栏: 操作系统裁剪 文章标签: linux openssl openssh
于 2024-06-04 20:06:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fish332/article/details/139449859
版权

  近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的openssh和openssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此记录下来,供有需要的人参考。

  本次目标是升级 openssh9.7p1 版本,升级 openssl1.1.1h 版本。环境为 kylin-SP2 服务器版操作系统。

一、下载源码并编译安装。

1、下载源码。

openssh下载地址:https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
openssl下载地址:https://github.com/openssl/openssl/releases?page=2

下载好源码上传到服务器上。

2、编译安装(安装问题请参考后边说明)。

解压openssl源码包并编译安装。

tar zxf openssl-1.1.1h.tar.gz
cd openssl-1.1.1h
./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
make && make install

解压openssh源码包并编译安装。

tar zxf openssh-9.7p1.tar.gz
cd openssh-9.7p1
./configure --prefix=/usr --with-ssl-dir=/usr/local/ssl --sysconfdir=/etc/ssh --with-pam --with-gssapi --with-rsa --with-rhosts-allowed --with-zlib --with-md5-passwords
make && make install

查看openssh和openssl版本号命令:

ssh -V
sshd -v
openssl version

二、常见问题解答

(1)提示缺少 pam 库。

解决方法:

yum install -y pam-devel

(2)提示当前系统的openssl版本和库文件对应不上。

在这里插入图片描述

解决方法1: 一般openssl会涉及到两个库文件,分别为 libcrypto.so.1.1 和 libssl.so.1.1 ,需要检查两个软链接所引用的实际文件的版本号是否与 openssl version 所查看到的版本号相匹配。

解决方法2: 在编译时增加参数:–without-openssl-header-check

(3)升级成功之后使用命令重启ssh,一直处于Active: activating(auto-restart)状态,sshd.service前面显示灰色,不正常。看着并不影响登录使用。

原因分析: 出现报错:sshd.service holdoff time over, scheduling restart. 是因为ssh启动后,没有给systemd发消息,systemd就一直等,超时后就重启ssh,导致ssh频繁挂起,但未启动成功。

解决方法: 修改源码,在 openssh-9.7p1 目录下找到 sshd.c 文件,找到调用 server_accept_loop 函数的地方,在上边增加一行 sd_notify(0, “READY=1”); 然后在源文件开头添加引用头文件 #include <systemd/sd-daemon.h>
在这里插入图片描述在这里插入图片描述完成后还需要确保系统中存在 systemd-devel 软件包才可,然后才能进行安装。安装命令为:yum install systemd-devel
在执行完configure之后会生成预编译文件Makefile,找到变量 LIBS,增加 -lsystemd 最后进行make和make install即可。
在这里插入图片描述

(4)提示不支持的参数:GSSAPIAuthentication、GSSAPICleanupCredentials、RSAAuthentication、RhostsRSAAuthentication。

在这里插入图片描述
解决方法: 在/etc/ssh/sshd_config文件中注释掉上边不支持的参数即可。

sed -i 's/^GSSAPIAuthentication/#&/' /etc/ssh/sshd_config
sed -i 's/^GSSAPICleanupCredentials/#&/' /etc/ssh/sshd_config
sed -i 's/^RSAAuthentication/#&/' /etc/ssh/sshd_config
sed -i 's/^RhostsRSAAuthentication/#&/' /etc/ssh/sshd_config

(5)使用scp命令时提示bad配置参数:GSSAPIKexAlgorithms。

在这里插入图片描述解决方法: 在/etc/crypto-policies/back-ends/openssh.config文件中注释掉上边的配置参数即可。

sed -i 's/^GSSAPIKexAlgorithms/#&/' /etc/crypto-policies/back-ends/openssh.config

在这里插入图片描述

(6)使用ssh命令提示不支持的参数:GSSAPIAuthentication。

在这里插入图片描述
解决方法: 在/etc/ssh/ssh_config.d/05-redhat.conf文件中注释掉上边不支持的参数即可。

sed -i 's/GSSAPIAuthentication/#&/' /etc/ssh/ssh_config.d/05-redhat.conf

在这里插入图片描述

一条代码鱼
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openssh离线升级最新版本【openssh8
2401_84048416的博客
04-16 590
如果下面telnet文件不存在的话,可以跳过这部分的更改【默认可以使用root登录】
openssh-9.7p1-1.el8.x86-64 rpm包
03-14
可用于centos8和rhel8中openssh升级,安装前注意备份配置文件。 安装后包含了ssh-copy-id命令,使用ssh -V命令可查看相关版本信息。成功安装后,rhel8.9版本会显示如下信息:OpenSSH_9.7p1, OpenSSL 1.1.1k FIPS 25 Mar 2021
centos7.9的opensshopenssl升级包(openssh-9.4p1openssl-1.1.1w)
03-02
首先备份原有库文件在进行卸载升级 cp /usr/bin/openssl /usr/bin/openssl-1.0.2k cp /usr/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1-1.0.2k cp /usr/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1-1.0.2k 卸载opensshopenssl,包括openssl-libs 然后解压安装 如有lib库文件异常,使用备份的库文件直接恢复
修复[ 中风险 ] OpenSSH 安全漏洞,升级openssh版本到9.7详解,亲测好使!
qq18346342939的博客
04-16 3780
修改需要修改 /etc/ssh/sshd_config 配置文件,将PermitRootLogin yes、PubkeyAuthentication yes、PasswordAuthentication yes都设置为true,注意别重复设置。十、新开一个窗口访问该服务器,看是否可以正常链接与登录,登录后并查看openssh版本已经是最新了。再次查看status:service sshd status ,Failed提示信息消失。七、进入解压包目录下,升级openssh版本到9.7
Linux OpenSSH最新版9.7p1升级操作详细教程
热门推荐
zt19820204的博客
04-17 1万+
从各渠道及官方公布的漏洞来看,9.6p1以下版本均受到影响。截止发稿前,Openssh官方查看最新版本为2024年3月11日发布的9.7p1,本次将更新升级至此版本,来提高系统安全系数。
OpenSSH&OpenSSL最新版
qq_49081692的博客
03-27 5401
openssh&openssl升级
CentOS 7 基于官方源码制作openssh 9.7p1 rpm包(without ssl)—— 筑梦之路
筑梦之路
03-12 2219
2024年3月11日,openssh 发布9.7 p1版本,这里在centos7 x86_64系统上来进行制作适用于centos 7 redhat 7 x86_64操作系统的openssh 9.7版本rpm包。我这里制作了两种版本的,一种是无ssh-copy-id命令,一种是含ssh-copy-id命令,已经制作好的rpm包可在我的资源中下载。因此,本文中制作的rpm包安装后均会显示without ssl,若需要显示ssl版本的,请参考我其他文章。制作过程这里不再赘述,跟之前制作9.6版本的几乎没有差异。
CentOS 7 制作openssh 9.6 rpm包更新修复安全漏洞 —— 筑梦之路
筑梦之路
12-21 5248
2023年12月18日 openssh 发布新版9.6p1,详细内容阅读。
LinuxOpenSSH_7.4p1 升级OpenSSH_9.3p1(亲测无问题,建议收藏)
qq_33259067的博客
12-14 3298
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。软连接,如果提示软连接已存在,记得备份软连接,然后在执行上面再次进行软连接,要不然会出问题,会导致root目录看不了,磁盘看不了,sftp连接不上,等等一系列问题;在升级之前,建议打开多个SSH终端连接,并安装telnet服务器,确保在SSH服务器升级异常时,可以通过telnet服务器远程连接,进行紧急问题修复处理。在升级前一定要备份原有的配置文件,以防出现意外情况。安装一些必要的命令(需要用到的)
(胎教级)Centos7.x完全断网升级OpenSSL3.x、OpenSSH9.x以及任意版本
m0_37822085的博客
03-18 3601
胎教级、傻瓜式教程,Centos7.x完全断网升级任意版本OpenSSHOpenSSL
openssh-9.7p1-1.el7.x86-64-ssh-copy-id-openssl.tgz
03-12
适用于centos 7 redhat 7 x86架构的二进制openssh rpm包,版本9.7p1 2024年3月11日官方发布9.7版本,内含ssh-copy-id命令,安装后显示openssl版本,此包基于openssl 1.1.1w制作,因此安装后会显示1.1.1w版本的...
openssh-9.7p1-1.ky10.aarch64-no-ssh-copy-id.tgz
03-28
银河麒麟v10 aarch64架构操作系统 适用的openssh 9.7p1版本 二进制rpm包 可用于升级更新openssh 版本,修复安全漏洞,对ssh进行安全加固 显示openssl版本信息
openssh9.7P1 for openeuler2203 and openeuler2203 sp*
最新发布
05-25
本人2024年5月25日制作的openssh9.7P1的rpm包,适用于openeuler22.03及其SP*升级版 包含以下文件: openssh-9.7p1-1.oe2203.x86_64.rpm openssh-clients-9.7p1-1.oe2203.x86_64.rpm openssh-debuginfo-9.7p1-1.oe...
探索OpenSSH版本升级
zzzxxx520369的博客
05-05 3384
OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。基于DH做密钥交换,基于RSA或DSA实现身份认证,从而实现无需输入账号密码。
记一次手动将OpenSSH从7.4升级到9.3的过程
无名牛宝宝
04-21 6797
收到通知说服务器组件存在漏洞使用yum升级接下来尝试手动升级
OpenSSH升级最新版
m0_65038436的博客
11-07 2024
/configure --with-ssl-dir=#OpenSSL路径。本次下载的版本为openssl-3.0.12.tar.gz。升级最新的OpenSSH需要升级OpenSSL最新。#需要在 ./configure增加参数。
Linux操作系统升级低版本的OpenSSH到9.3的高版本
Dai_Haijiao的博客
07-17 5856
4.1 升级后ssh工具无法成功连接(或是连接上了,但是黑框打不开),找了很多资料,最终发现,问题出在了selinux上。重启openssh服务,注意正在使用的ssh工具也关闭掉重启一下(可能出于连接状态,但是sftp打不开。OpenSSH 9.3之前的版本存在各种各样的安全漏洞,为此,我们需要将OpenSSH升级到最新的9.3的版本。此时我们已经看到这两个属性在当前openssh版本下不支持,我们进入配置文件,将这两个属性注释掉。执行:ssh -V,我们可以查看当前的openssh版本。
Linux升级openssl版本
m0_52985087的博客
04-02 8396
为什么要升级openssl版本,一是解决旧的OpenSSL版本可能会存在一些安全漏洞。这些漏洞可能会被黑客利用,对系统和数据造成威胁,因此,升级到新的OpenSSL版本可以修复这些已知的安全漏洞,提高系统的安全性。二是有些软件的安装部署会涉及到openssl的版本,如果版本不满足,就需要升级openssl或降级,比如:Nginx、RabbitMQ等安装的时候会涉及到openssl
centos9.7 升级opensshopenssl 给出详细步骤
06-11
以下是 CentOS 9.7 升级 OpenSSHOpenSSL详细步骤: 1. 检查当前系统版本 使用以下命令检查当前系统是否已经安装了 OpenSSHOpenSSL: ``` rpm -qa | grep -E 'openssh|openssl' ``` 如果系统中已经安装了这两个软件包,则需要先卸载旧版本的 OpenSSHOpenSSL。 2. 卸载旧版本的 OpenSSHOpenSSL 使用以下命令卸载旧版本的 OpenSSHOpenSSL: ``` yum remove -y openssh openssl ``` 3. 下载最新版本的 OpenSSHOpenSSLOpenSSHOpenSSL 官方网站下载最新版本的软件包,可以使用以下命令下载: ``` wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.6p1.tar.gz ``` 4. 安装 OpenSSL a. 解压 OpenSSL 软件包: ``` tar -zxvf openssl-1.1.1k.tar.gz ``` b. 进入解压后的目录,执行以下命令进行编译: ``` cd openssl-1.1.1k ./config shared zlib make && make install ``` c. 编译完成后,需要将新版本OpenSSL 库文件路径添加到系统的 ldconfig 配置文件中: ``` echo "/usr/local/lib" >> /etc/ld.so.conf.d/local.conf ldconfig -v ``` 5. 安装 OpenSSH a. 解压 OpenSSH 软件包: ``` tar -zxvf openssh-8.6p1.tar.gz ``` b. 进入解压后的目录,执行以下命令进行编译: ``` cd openssh-8.6p1 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords --with-pam make && make install ``` c. 编译完成后,需要将新版本OpenSSH 相关文件路径添加到系统的 PATH 环境变量中: ``` echo "export PATH=/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin" >> /etc/profile source /etc/profile ``` 6. 验证 OpenSSHOpenSSL 的版本 执行以下命令验证 OpenSSHOpenSSL 的版本: ``` ssh -V openssl version ``` 如果输出的版本号是最新的,则说明升级成功。 注意:升级 OpenSSHOpenSSL 可能会影响系统的安全性和稳定性,请谨慎操作,并备份系统数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一条代码鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值