背景描述:公司内网服务器被扫描出安全漏洞,需要升级新版本的OpenSSH, 升级后虽然用 ssh -V 查看版本已经升级成功,但是无法用Systemctl restart sshd 对openSSH 进行重启。
一 我升级openSSH 的步骤借鉴了这篇帖子,版本是8.8 到 9.7:CVE-2023-38408漏洞修复--openssh&openssl升级-CSDN博客
切记在升级前一定要安装别的远程连接工具,如果升级失败,并且没有别的远程连接工具,那就只能去现场机房了!
我装的连接工具是screen,服务器安装screen前需要已经装好ncurses,否则会提示安装失败,需要的可以自行百度下载,这里不多做讲解。
二 升级后 systemctl restart sshd 重启,过了很长一段时间提示报错:
Job for sshd.service failed because the control process exited with error code"systemctl status sshd.service" and "journaSeectl -xe" for details
用 systemctl status sshd 和 journalctl -xe 查看 openssh 状态,显示 Failed to start OpenSSH server daemon 提示不是很明确,并且 cat /var/log/messages 运行日志发现openssh 在不断地停止和启动 sshd.service holdoff time over,scheduling restart ,经过后续的一系列排查发现,在安装新版的openssh时会检测原来的一些配置文件是否存在,如果有的话就会继续沿用,所以这就导致了新老版本的一些文件冲突,这里重启失败的根本原因就是 /usr/lib/systemd/system/sshd.service 版本不兼容了,这里我选择把这个文件mv 移动到了别的目录,然后生成一个新的启动脚本sshd到 /etc/rc.d/init.d/ 下,chmod u+x sshd 赋予权限,然后 systemctl daemon-reload 重新加载 system 配置,最后 重启成功
三 如果嫌上述步骤麻烦,可以直接卸载原有openssh 在进行安装可能会好点。
附脚本代码,需要的自取:
#!/bin/bash
#
# Init file for OpenSSH server daemon
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd
# config: /etc/ssh/ssh_host_key
# config: /etc/ssh/ssh_host_key.pub
# config: /etc/ssh/ssh_random_seed
# config: /etc/ssh/sshd_config
# pidfile: /var/run/sshd.pid
# source function library
. /etc/rc.d/init.d/functions
# pull in sysconfig settings
[ -f /etc/sysconfig/sshd ] && . /etc/sysconfig/sshd
RETVAL=0
prog="sshd"
# Some functions to make the below more readable
SSHD=/usr/sbin/sshd
PID_FILE=/var/run/sshd.pid
do_restart_sanity_check()
{
$SSHD -t
RETVAL=$?
if [ $RETVAL -ne 0 ]; then
failure $"Configuration file or keys are invalid"
echo
fi
}
start()
{
# Create keys if necessary
/usr/bin/ssh-keygen -A
if [ -x /sbin/restorecon ]; then
/sbin/restorecon /etc/ssh/ssh_host_rsa_key.pub
/sbin/restorecon /etc/ssh/ssh_host_dsa_key.pub
/sbin/restorecon /etc/ssh/ssh_host_ecdsa_key.pub
fi
echo -n $"Starting $prog:"
$SSHD $OPTIONS && success || failure
RETVAL=$?
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/sshd
echo
}
stop()
{
echo -n $"Stopping $prog:"
killproc $SSHD -TERM
RETVAL=$?
[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/sshd
echo
}
reload()
{
echo -n $"Reloading $prog:"
killproc $SSHD -HUP
RETVAL=$?
echo
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
reload)
reload
;;
condrestart)
if [ -f /var/lock/subsys/sshd ] ; then
do_restart_sanity_check
if [ $RETVAL -eq 0 ] ; then
stop
# avoid race
sleep 3
start
fi
fi
;;
status)
status $SSHD
RETVAL=$?
;;
*)
echo $"Usage: $0 {start|stop|restart|reload|condrestart|status}"
RETVAL=1
esac
exit $RETVAL