Centos7下rpm升级OpenSSH到openssh-8.5p1版本

项目采用本地部署时，系统扫描漏洞信息如下

需要升级openssh版本：

1、下载：

wget https://cikeblog.com/s/openssh-8.5p1-1.el7.tar.gz
tar -zxvf openssh-8.5p1-1.el7.tar.gz

2、安装：

rpm -Uvh *.rpm

至此，升级完成，如果之前升级过的，下面的就不用看了，直接新开SSH终端连接即可。

3、注意事项：

因为OPENSSH升级后，/etc/ssh/sshd_config会还原至默认状态，我们需要进行相应配置：

cd /etc/ssh/
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "PasswordAuthentication yes"  >> /etc/ssh/sshd_config
systemctl restart sshd

注意：升级后重启SSH可能出现以下错误：

It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
[FAILED]
sshd.service: control process exited, code=exited status=1
Failed to start SYSV: OpenSSH server daemon.
Unit sshd.service entered failed state.
sshd.service failed.

解决办法：

chmod 0600 /etc/ssh/ssh_host_ed25519_key
service sshd restart

即可解决。

注意，/etc/pam.d/sshd也文件会被覆盖，我们进行还原：
先清空：

>/etc/pam.d/sshd;

再还原：

echo '#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth'>/etc/pam.d/sshd

至此，升级完成，先别关闭终端，直接新开一个终端，连接到服务器测试。

注意：如果新开终端连接的时，root密码报错，并且已经根据上面后续操作，那可能就是SElinux的问题，我们进行临时禁用：

setenforce 0

即可正常登录，然后修改/etc/selinux/config 文件：

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

进行永久禁用SElinux即可。

到目前为止，则升级openssh成功。