基于 CentOS7 制作 OpenSSH 10.0 安装包&升级指南

已于 2025-05-15 18:07:22 修改
阅读量5.6k 收藏 10
点赞数 2
分类专栏: Linux 文章标签: linux centos 运维
于 2022-08-24 18:14:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhjlhj123123/article/details/126508733
版权
本文详细介绍了在CentOS7系统中如何从源码编译制作OpenSSH的RPM包,包括所需的依赖安装、源码下载、配置文件修改以及处理可能出现的各种错误,如gcc、glibc-devel、krb5-devel、openssl-devel等依赖问题。此外,还涉及了在升级OpenSSH过程中可能遇到的openssl版本问题,以及升级后配置文件的备份、恢复和权限设置,确保服务能够正常启动和使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

准备工作

操作系统:CentOS 7
制作RPM包,需要依赖以下命令,因此需要安装对应的包

  • gcc(yum install -y gcc)
  • rpmbuild(yum install -y rpmdevtools rpmlint)
  • rpmlint(可选,执行上面的命令,则rpmlint一并安装)

题外话,如果遇到yum命令报错,则检查环境变量,yum依赖的python的版本是否为2.x,如果默认是3.x,则会导致yum报错。当 python2 和 python3 同时存在时,最简单的做法就是直接修改/usr/bin/python的软连接为python2。

OpenSSH官网信息

官网目前最新版是10.0,点击源码下载。

下文是基于10.0之前的版本写的,经测试,在10.0上依然有效,所以就不更新内容里面的版本号了。

制作RPM包

  1. 将openssh-9.7p1.tar.gz放在rpmbuild对应的工作目录下。比如,rpmbuild默认安装后,工作目录如下:
/root/rpmbuild/
├── BUILD
├── RPMS
├── SOURCES
├── SPECS
└── SRPMS

如果没有该目录,则执行以下命令进行创建:

rpmdev-setuptree

然后,将openssh-9.7p1.tar.gz放在SOURCES目录下。

  1. 提取openssh的spec文件,这个文件就是用来制作rpm包的配置文件。命令如下:
cd /
tar -xzvf /root/rpmbuild/SOURCES/openssh-9.7p1.tar.gz /openssh-9.7p1/contrib/redhat/openssh.spec
cp /openssh-9.7p1/contrib/redhat/openssh.spec /root/rpmbuild/SPECS/
  1. 执行打包命令:
rpmbuild -bb /root/rpmbuild/SPECS/openssh.spec
  1. 打包过程中可能遇到的问题:
    no acceptable C compiler found in $PATH
    关注上图中的error部分:no acceptable C compiler found in $PATH,这个问题,其实在文章的开头的准备工作中提到了,需要先安装gcc,如果未安装,则会报这个错误,安装命令如下:
yum install -y gcc

重新执行打包命令,可能遇到如下错误:缺少glibc-devel和krb5-devel依赖
缺少glibc-devel和krb5-devel依赖
同上面一样,安装这两个包:

yum install -y glibc-devel krb5-devel

重新打包,可能会遇到cannot run C compiled programs错误:
cannot run C compiled programs
上面的错误信息不够详细,看不出来是什么原因导致的,根据上图的提示,可以查看 /root/rpmbuild/BUILD/openssh-9.7p1/config.log文件,里面记录了更详细的错误信息,如下图所示:
stdio.h: No such file or directory
上图提示:stdio.h: No such file or directory,所以,我们需要安装glibc-headers,命令如下:

yum install glibc-headers

安装完成之后,stdio.h文件将保存在/usr/include中,可通过命令

`find / -name stdio.h`

进行确认,如果该文件不在/usr/include下,执行打包命令还是会报错。

继续执行打包命令:

[root@localhost rpmbuild]# rpmbuild -bb SPECS/openssh.spec
error: Failed build dependencies:
        openssl-devel < 1.1 is needed by openssh-9.0p1-1.el7.centos.x86_64

查看系统是否安装了openssl-devel,以及版本是否符合条件。openssh.specs文件中明确了openssl-devel的版本:

BuildRequires: openssl-devel >= 1.0.1
BuildRequires: openssl-devel < 1.1

不存在则安装相应的版本:

yum install -y openssl-devel

但实际情况可能是即使安装了正确的版本,还是报上面那个错误。可以直接修改openssh.specs文件,将BuildRequires: openssl-devel < 1.1 删除或者在这行的起始位置加#进行注释。

#BuildRequires: openssl-devel < 1.1

另外,还需要修改openssh.specs文件中的两个变量值:

# Do we want to disable building of x11-askpass? (1=yes 0=no)
%global no_x11_askpass 1

# Do we want to disable building of gnome-askpass? (1=yes 0=no)
%global no_gnome_askpass 1

将no_x11_askpass 和no_gnome_askpass的值都改为1,不编译这两个模块。

为了避免修改的文件有误导致编译再次失败,可用rpmlint命令对修改的配置文件进行校验。

rpmlint /root/rpmbuild/SPECS/openssh.spec

如果遇到找不到zlib.h的问题,则安装zlib库,安装命令如下:

yum install -y zlib-devel

如果还是报错,则查找zlib.h文件在哪里:

find / -name zlib.h

然后将找到的文件,复制到/usr/include下。

如果遇到如下问题:

configure: error: PAM headers not found
error: Bad exit status from /var/tmp/rpm-tmp.c0SmcP (%build)

RPM build errors:
    Bad exit status from /var/tmp/rpm-tmp.c0SmcP (%build)

则需要安装pam-devel,devel就是包含头文件的包:

yum install -y pam-devel

如果遇到如下错误:

Obsoletes: ssh-server
Processing files: openssh-debuginfo-10.0p1-1.el7.centos.x86_64
Provides: openssh-debuginfo = 10.0p1-1.el7.centos openssh-debuginfo(x86-64) = 10.0p1-1.el7.centos
Requires(rpmlib): rpmlib(FileDigests) <= 4.6.0-1 rpmlib(PayloadFilesHavePrefix) <= 4.0-1 rpmlib(CompressedFileNames) <= 3.0.4-1
Checking for unpackaged file(s): /usr/lib/rpm/check-files /root/rpmbuild/BUILDROOT/openssh-10.0p1-1.el7.centos.x86_64
error: Installed (but unpackaged) file(s) found:
   /usr/libexec/openssh/sshd-auth


RPM build errors:
    Installed (but unpackaged) file(s) found:
   /usr/libexec/openssh/sshd-auth

那就编辑文件,然后找到这部分内容:

%files server
...
...

在里面添加一条:

%attr(0755,root,root) %{_libexecdir}/openssh/sshd-auth

最终效果如下:

%files server
%defattr(-,root,root)
%dir %attr(0111,root,root) %{_var}/empty/sshd
%attr(0755,root,root) %{_sbindir}/sshd
%attr(0755,root,root) %{_libexecdir}/openssh/sshd-auth
%attr(0755,root,root) %{_libexecdir}/openssh/sshd-session
%attr(0755,root,root) %{_libexecdir}/openssh/sftp-server
%attr(0644,root,root) %{_mandir}/man8/sshd.8*
%attr(0644,root,root) %{_mandir}/man5/moduli.5*

最后重新编译:

rpmbuild -bb /root/rpmbuild/SPECS/openssh.spec

应该就能打包成功了,打包好的rpm文件在以下目录:

[root@localhost x86_64]# pwd
/root/rpmbuild/RPMS/x86_64
[root@localhost x86_64]# ll | grep ssh
-rw-r--r-- 1 root root  665872 May 24 16:13 openssh-9.7p1-1.el7.centos.x86_64.rpm
-rw-r--r-- 1 root root  655388 May 24 16:13 openssh-clients-9.7p1-1.el7.centos.x86_64.rpm
-rw-r--r-- 1 root root 3108720 May 24 16:13 openssh-debuginfo-9.7p1-1.el7.centos.x86_64.rpm
-rw-r--r-- 1 root root  465228 May 24 16:13 openssh-server-9.7p1-1.el7.centos.x86_64.rpm

安装或者升级

目前openssh最新版是9.7,该版本需要使用openssl 1.1.1的版本,所以,我们需要同时升级openssl。

  1. 查询openssl的版本:
openssl version
  1. 如果openssl的版本不是1.1.1,则需要升级到1.1.1版本,查看已安装的openssl:
rpm -qa|grep openssl

注意,卸载openssl-1.x.x容易导致系统crash,可以采用强制升级的方式。

  1. 安装openssl的新版本:
rpm -i openssl-1.1.1t-1.el7.centos.x86_64.rpm --nodeps --force
  1. 检查是否已安装openssh,执行以下命令:
rpm -qa | grep openssh

如果未安装,则进行安装:

rpm -i openssh*.rpm

注意,这里是用的openssh*,因为有依赖,所以除了debuginfo那个包,其他的都需要安装上。

  1. 已安装,则直接升级,如果升级之前,需要备份配置文件,则备份如下配置即可:
/etc/ssh/ssh_config
/etc/ssh/sshd_config
/etc/pam.d/sshd
  1. 备份完成,执行以下命令进行升级:
rpm -U openssh*.rpm

检查是否升级成功:

rpm -qa | grep openssh
  1. 升级成功之后,需要检查前面备份的三个配置文件是否需要还原。如果是小版本升级,可复用之前的配置,然后重启。如果是大版本升级,可能涉及到配置文件的重要变化,所以需要将升级之后的新配置文件,一般名为sshd_config.rpmnew,重命名为sshd_config,然后重启sshd服务:
systemctl restart sshd

如果涉及到安全加固,那就参考备份文件,重新进行配置即可。

重启可能会失败,使用以下命令查看失败原因:

systemctl status sshd

输出信息如下:

May 25 13:21:52 localhost.localdomain sshd[13077]: Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
May 25 13:21:52 localhost.localdomain sshd[13077]: Unable to load host key: /etc/ssh/ssh_host_ed25519_key
May 25 13:21:52 localhost.localdomain sshd[13077]: sshd: no hostkeys available -- exiting.
May 25 13:21:52 localhost.localdomain sshd[13077]: [FAILED]

进入/etc/ssh/目录,将key相关的文件都删掉:

[root@localhost ssh]# rm -rf *key*

再次重启sshd服务,并查看sshd的运行状态是否正常:

systemctl restart sshd
systemctl status sshd

如果启动正常,但通过ssh无法登录服务器,则需要查看系统日志,命令如下:

[root@localhost pam.d]# cat /var/log/secure
......
May 25 13:28:39 localhost sshd[30480]: PAM unable to dlopen(/usr/lib64/security/pam_stack.so): /usr/lib64/security/pam_stack.so: cannot open shared object file: No such file or directory
May 25 13:28:39 localhost sshd[30480]: PAM adding faulty module: /usr/lib64/security/pam_stack.so

如果出现上述的错误信息,提示找不到pam_stack.so模块,则说明/etc/pam.d/sshd文件没有被恢复为之前的备份文件。

如果还是无法使用ssh登录,则继续查看系统日志:

[root@localhost pam.d]# cat /var/log/secure
......
May 25 13:40:41 localhost sshd[28873]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10  user=root
May 25 13:40:41 localhost sshd[28873]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 25 13:40:43 localhost sshd[28873]: Failed password for root from 10.10.10.10 port 59430 ssh2
May 25 13:40:46 localhost sshd[28873]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 25 13:40:49 localhost sshd[28873]: Failed password for root from 10.10.10.10 port 59430 ssh2

提示requirement “uid >= 1000” not met by user “root”,则需要修改/etc/ssh/sshd_config下的配置:

PermitRootLogin yes

该参数表示允许root用户使用ssh方式登录。修改完成后,需要重启sshd服务。

Linux OpenSSH最新版9.7p1升级操作详细教程
zt19820204的博客
04-17 1万+
从各渠道及官方公布的漏洞来看,9.6p1以下版本均受到影响。截止发稿前,Openssh官方查看最新版本为2024年3月11日发布的9.7p1,本次将更新升级至此版本,来提高系统安全系数。
openSSH安装包
05-22
openSSH安装包,亲测可用,好用希望给个好评 谢谢谢谢
Centos7 openssh-10.0p1-rpm安装包
最新发布
05-14
Centos7 openssh-10.0p1-rpm安装包 安装命令 rpm -ivh --force --nodeps --replacepkgs --replacefiles openssh-*.rpm 注意:安装后先不要断开当前ssh连接,手动重启ssh服务正常后再断开!!! 操作系统重启执行ssh -V 显示版本没变执行这个 mv /usr/local/bin/ssh /usr/local/bin/ssh.bak ln -s /usr/bin/ssh /usr/local/bin/ssh
openssh-10.0p1.tar.gz
04-23
适用于centos7存在CVE-2025-26465、CVE-2025-26466高危漏洞修复rpm包。内包含openssh-10.0p1-1.el7.x86_64.rpm openssh-clients-10.0p1-1.el7.x86_64.rpm openssh-server-10.0p1-1.el7.x86_64.rpm
离线升级OpenSSH10.0
qq_44974015的博客
04-16 1409
离线升级OpenSSH10
一键解决80%的Linux系统高危漏洞软件-之openssh9.7最新(粉丝送福利)
huiyangxu blog
05-02 2352
下面是我这一台Centos6.5的老版本操作系统,没有更新openssh之前的漏洞扫描信息,可以看得出来高风险全是openssh(本漏扫使用最新的规则库2024-04-04发布的)Linux系统默认的OPENSSH版本比较低,等保等安全检查时,一定会被扫出来高风险漏洞,而高风险是等保三的否决项,一定要解决。网上大部分的解决的办法就是源码编译安装openssh,编译的时间较长,也比较麻烦,小白的话很容易做错导致系统登录不进去了。更新openssh之后再漏扫检查,可以看出来,己经没有高风险漏洞了!
CentOS 7 制作openssh 9.6 rpm包更新修复安全漏洞 —— 筑梦之路
筑梦之路
12-21 5618
2023年12月18日 openssh 发布新版9.6p1,详细内容阅读。
centos 升级OpenSSH9.7
heran36的博客
08-13 712
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 9.6之前版本存在安全漏洞,该漏洞源于当在添加PKCS11托管私钥的过程中指定目标约束时,这些约束仅应用于第一个密钥。为了解决以漏洞,将openssh的版本升级9.7.
CentOS 7 基于官方源码制作openssh 9.7p1 rpm包(without ssl)—— 筑梦之路
筑梦之路
03-12 2600
2024年3月11日,openssh 发布9.7 p1版本,这里在centos7 x86_64系统上来进行制作适用于centos 7 redhat 7 x86_64操作系统的openssh 9.7版本rpm包。我这里制作了两种版本的,一种是无ssh-copy-id命令,一种是含ssh-copy-id命令,已经制作好的rpm包可在我的资源中下载。因此,本文中制作的rpm包安装后均会显示without ssl,若需要显示ssl版本的,请参考我其他文章。制作过程这里不再赘述,跟之前制作9.6版本的几乎没有差异。
centos7 openssh升级9.7p1 简单详细教程(傻瓜教学方式)
Cc_1208的博客
03-13 3338
rpm -e openssh-askpass-gnome-9.3p1-1.el7.x86_64 (这个是我服务器多余的起冲突了,如果你们也有可以按照这种方式删掉ask相关的)cat /etc/ssh/sshd_config |grep UsePAM (显示 UsePAM no 就说明成功了)UsePAM yes # 配置为 yes。这里我把rpm包放到网盘里 需要自取。
修复[ 中风险 ] OpenSSH 安全漏洞,升级openssh版本到9.7详解,亲测好使!
qq18346342939的博客
04-16 4783
修改需要修改 /etc/ssh/sshd_config 配置文件,将PermitRootLogin yes、PubkeyAuthentication yes、PasswordAuthentication yes都设置为true,注意别重复设置。十、新开一个窗口访问该服务器,看是否可以正常链接与登录,登录后并查看openssh版本已经是最新了。再次查看status:service sshd status ,Failed提示信息消失。七、进入解压包目录下,升级openssh版本到9.7
LinuxOpenSSH升级9.7
myspace20的博客
04-23 2214
升级openssl和openssh
LINUX openssh安装包
11-19
LINUX 下SSH 安装包 用交叉编译后移植到ARM开发板等设备上
windows 下openssh服务安装包
08-25
完整的7.7版的openssh服务,支持Windows环境安装使用。
openssh-7.5安装包
09-09
OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。
openssh 安装包和安装教程
12-04
openssh 安装包和安装教程,里面有安装openssh所需要的zlib,openssl,openssh三个安装包和整个安装过程的教程。
openssh-10.0p1-1.el8.x86-64 rpm包
04-11
可用于centos8和rhel8中openssh升级,安装前注意备份配置文件。 安装后包含了ssh-copy-id命令,使用ssh -V命令可查看相关版本信息。成功安装后,会显示如下信息:OpenSSH_10.0p2, OpenSSL 1.1.1k FIPS 25 Mar ...
openssh-10.0p1和openssl1.1.1l centos6.x86-64 rpm安装包
05-09
包含:openssh-10.0p1-1.el6.x86_64.rpm、openssh-clients-10.0p1-1.el6.x86_64.rpm、openssh-server-10.0p1-1.el6.x86_64.rpm、...1.1.1l-1.el6.x86_64.rpm 6个centos6 rpm安装包,亲测在centos6.8系统上成功升级
rockylinux9.5-ssh9.9p1-ssl3.0.15-rpm-x86-64升级加固脚本
11-22
描述中提到的内容指出该脚本用于编译openssh9.9p1以及ssl3.0.15的rpm安装包,这一操作的目标是基于Red Hat 9的系统,包括CentOS 9、EL 9、Rocky Linux 9、Alma Linux 9和RedHat 9。根据描述,Rocky Linux 9.5已经...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值