CentOS7 OpenSSL升级到OpenSSH9.5p1

已于 2024-06-12 14:30:32 修改
阅读量4.9k 收藏 41
点赞数 30
文章标签: 运维 linux centos
于 2023-12-12 17:12:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30359369/article/details/134954151
版权

原文链接:
CentOS7 OpenSSL升级1.1.1w;OpenSSH 升级 9.5p1 保姆级教程
openssl从3.1.0升级到3.1.1遇到的问题

**

最新说明:
相同版本的服务器安装时情况都不一样,主要是围绕openssl的这个错(configure: error: OpenSSL >=
1.1.1 required ),从我升级十来台centos7.6/centos7.9的经验来看,不管安装哪个版本的ssl,安装后查看ssl版本都正常,但到安装openssh时configure
就是检测不出来,还是原版本ssl;有的安装OpenSSL 1.1.1w就成功了,有的安装OpenSSL
3.1.0成功了,有的甚至安装两个都不成功,反复安装这个版本又卸载,又安装那个版本又卸载,又改各种配置才成功。

**

注意操作时需要联网请参考如下链接

内网服务器联网安装依赖参见我的另一篇文章

一、 前言

OpenSSH 的加密功能需要用到OpenSSL,所以在升级OpenSSH的时候,大部分情况是需要将OpenSSL一起升级的。

这里我们可以先升级OpenSSL到OpenSSL 1.1.1w 11 Sep 2023
然后再升级OpenSSH 到OpenSSH_9.5p1, OpenSSL 1.1.1w 11 Sep 2023

当然也可以从第三步开始操作,如果你的OpenSSL 版本太低会遇到报错 configure: error: OpenSSL >= 1.1.1 required,此时你需要跳到文末升级OpenSSL 再返回继续操作

1.1 注意点
在升级之前先将需要的包上传到服务器,以免升级失败后导致上传文件失败。(这里我用的sftp上传,sftp的核心也需要用到SSH),并安装telnet-server服务保证SSH升级失败后,可以继续远程连接。

需要有初始yum源,要不然安装这两个服务众多的依赖包将会是梦魇。

原始版本信息如下。

二、升级OpenSSL

2.1 安装依赖

yum -y install gcc*

2.2备份、卸载原有OpenSSL
1、 查找openssl 相关目录,然后备份

[root@vm206 etc]# whereis openssl

openssl: /usr/bin/openssl /usr/lib64/openssl /usr/share/man/man1/openssl.1ssl.gz

[root@vm206 etc]# mv /usr/bin/openssl  /usr/bin/openssl.old

[root@vm206 etc]# mv /usr/lib64/openssl /usr/lib64/openssl.old

2、 卸载 openssl (这一步看个人需要,我有洁癖所以我卸载了)

yum remove openssl

2.3安装openssl

wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz --no-check-certificate

tar -xzvf openssl-1.1.1w.tar.gz

cd openssl-1.1.1w/

./config --prefix=/usr

make && make install

这里我的目录选择了/usr 是因为系统最初始的openssl的目录就是/usr 这样可以省去的软连接、更新链接库的问题

2.4验证

[root@vm206 openssl-1.1.1w]# whereis openssl

openssl: /usr/bin/openssl /usr/lib64/openssl /usr/include/openssl /usr/share/man/man1/openssl.1ssl.gz /usr/share/man/man1/openssl.1

[root@vm206 openssl-1.1.1w]# openssl  version

OpenSSL 1.1.1w  11 Sep 2023

可以看到我这边的目录和老版本的openssl的目录保持了一致,唯一不同的是多了一个/usr/include/openssl 库目录
如果不加prefix ,openssl的默认路径如下

Bin: /usr/local/bin/openssl

include库 :/usr/local/include/openssl

lib库:/usr/local/lib64/

engine库:/usr/lib64/openssl/engines

三、 升级OpenSSH

内网中yum需要代理,请看本文开头的红色加粗超链接

3.1 安装telnet-server

yum install telnet* -y

systemctl  start telnet.socket

systemctl enable telnet.socket

mv /etc/securetty /etc/securetty.bak

临时关闭安全登录,否则无法进行远程telnet连接

有防火墙记得关闭防火墙,并关闭SELinux

防火墙:

 firewall-cmd --state

关闭防火墙:

systemctl stop firewalld.service

测试telnet远程登录,telnet登录成功才进行接下来的操作,防止sshd服务被搞坏了远程连不上服务器 

telnet 172.16.1.182

Type `help' to learn how to use Xshell prompt.
[D:\~]$ telnet 172.16.1.182


Connecting to 172.16.1.182:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Kernel 5.15.1-1.el7.elrepo.x86_64 on an x86_64
0003 login: root
Password: 
Last login: Wed Dec 13 09:46:44 from 172.10.110.247
[root@0003 ~]#

如上,已经可以通过telnet远程连接了,这下可以放心大胆的操作了。

接下来的操作用telnet远程,不要用ssh远程,防止升级OpenSSH9.5p1时原ssh文件卸载不干净

3.2 安装依赖包

yum install -y gcc pam-devel rpm-build wget zlib-devel openssl-devel net-tools

3.3 备份

在这里插入图片描述

通过whereis ssh sshd找出bin文件、源文件,然后备份。 man手册不需要备份。

mv /etc/ssh /etc/ssh.bak

mv /usr/bin/ssh /usr/bin/ssh.bak

mv /usr/sbin/sshd /usr/sbin/sshd.bak

mv /etc/pam.d/sshd  /etc/pam.d/sshd.old

备份pam验证文件

3.4卸载旧版OpenSSH

yum remove openssh

3.5安装新版OpenSSH
openssh镜像地址:http://www.openssh.com/portable.html

wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.5p1.tar.gz
tar -xzvf openssh-9.5p1.tar.gz

cd openssh-9.5p1

./configure --prefix=/usr --sysconfdir=/etc/ssh  --with-pam   --with-ssl-dir=/usr/local/lib64/

如果报错(openssh还是识别到了旧版的openssl)
在这里插入图片描述
解决办法

vim /etc/ld.so.conf文件(此文件记录了编译时使用的动态库的路径)
注释掉/usr/local/openssl/lib
添加/usr/local/openssl310/lib64 (具体看自己安装路径)

文件生效:

/sbin/ldconfig -v

其中–prefix --sysconfdir 这两个参数我仍然采用了系统之前的默认路径,避免路径混乱导致的问题
如果报错 configure: error: OpenSSL >= 1.1.1 required请看文末的问题

make

make install

cd /etc/pam.d/

mv sshd.old sshd

恢复ssh pam认证

cd openssh-9.5p1/

cp contrib/redhat/sshd.init /etc/init.d/sshd

chkconfig --add sshd

systemctl  enable sshd

systemctl  start sshd

可以看到,已经升级成功

[root@0003 ~]# ssh -V
OpenSSH_9.5p1, OpenSSL 3.1.0 14 Mar 2023
[root@0003 ~]#

3.6修改/etc/ssh/sshd_config 配置文件
文件修改如下,然后重启sshd服务即可在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

登录成功界面

在这里插入图片描述

问题

configure: error: OpenSSL >= 1.1.1 required

原因

原因是,我上一次修复BUG时,把openssl版本直接从1.1.1t升级到了3.1.0,需要的lib类库也需要从libssl.so.1.1更新到libssl.so.3,这一次同样是3版本,我以为不用更新了,所以出现了上面的错误;

解决办法

进入安装好的/usr/local/openssl311/lib64目录下(openssl311是自定义的,选择自己的安装目录),将libssl.so.3文件和libcrypto.so.3文件复制到/usr/lib64目录下,选择覆盖;

升级过程
下载:

内网中wget需要代理,请看本文开头的红色加粗超链接

wget https://www.openssl.org/source/openssl-3.1.0.tar.gz --no-check-certificate

解压:

tar -xzvf openssl-3.1.0.tar.gz

进入解压后目录:

cd openssl-3.1.0

配置安装目录:

./config --prefix=/usr/local/openssl310

注意–prefix=/usr/local/openssl311,如果–prefix=/usr/local/openssl覆盖安装之前版本会失败,我已踩坑
这里安装目录和之前目录保持不同,安装完成再去删除之前的 /usr/local/openssl目录,不删除就当废弃文件放在那也行

我在升级另一台服务器又遇到这个开头的错Can’t locate IPC/Cmd.pm in
参考:
编译升级OpenSSL报错:Can‘t locate IPC/Cmd.pm
解决一个问题----cpan配置(proxy,mirror)
cpan好像是一个脚本工具,类似于shell
即先安装cpan,第一次输入cpan会要求先配置, 选手动配置,会提示各种配置 [如果是内网服务器就需要代理,代理服务器搭建参考我的这篇文章内网服务器联网安装依赖, 一直回车直到提示配置代理,输入代理地址(http://ip:port),继续回车几次到配置镜像地址(http://mirrors.163.com/cpan/), 使用国内镜像源,继续回车会安装一些依赖就提示可用了]
再用cpan安装IPC/Cmd.pm

编译安装:

make && make install

进入安装好的/usr/local/openssl311/lib64目录下(openssl311是自定义的,选择自己的安装目录),

cd /usr/local/openssl310/lib64

将libssl.so.3文件和libcrypto.so.3文件复制到/usr/lib64目录下,选择覆盖;

cp libssl.so.3  /usr/lib64
cp libcrypto.so.3  /usr/lib64

本地查看是否成功:

/usr/local/openssl310/bin/openssl version -a

出现问题,解决后可正常显示新版本,或无问题,继续下一步
软链接:进入/usr/bin目录,查询openssl的软链接,如果指定的是旧版本,使用命令取消旧软链接

unlink /usr/bin/openssl

创建新软链接:

ln -s /usr/local/openssl310/bin/openssl /usr/bin/openssl

刷新命令库:

ldconfig

在任一目录直接验证,可查看到新版本

openssl version -a

[root@0003 ~]# openssl version -a
OpenSSL 3.1.0 14 Mar 2023 (Library: OpenSSL 3.1.0 14 Mar 2023)
built on: Tue Dec 12 08:24:05 2023 UTC
platform: linux-x86_64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DNDEBUG
OPENSSLDIR: "/usr/local/openssl310/ssl"
ENGINESDIR: "/usr/local/openssl310/lib64/engines-3"
MODULESDIR: "/usr/local/openssl310/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0xfffa32035f8bffff:0x800d19e4fbb
[root@0003 ~]#
swiftlzk
关注
  • 30
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
checking OpenSSL library version... configure: error: OpenSSL >= 1.1.1 required (have “100020bf 解决方案
weixin_43178406的博客
02-02 1万+
 本文主要介绍了checking OpenSSL library versionconfigure: error: OpenSSL >= 1.1.1 required (have “100020bf (OpenSSL 1.0.2k-fips 26 Jan 2017)”)解决方案,希望能对使用Linux的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
CentOS7脚本自动升级openssh9.4p1的rpm包
09-28
用于漏扫出的系统安全加固,适用于CentOS7,脚本自动升级openssh9.4p1升级完版本OpenSSH_9.4p1, OpenSSL 3.0.11 19 Sep 2023 编译时间:20230927
Centos7升级OpenSSH版本至9.6p1
01-17
最近安全研究部门发现针对SSH有缺陷版本的水龟攻击,貌似9.6P1以下版本都会受到影响,与之相关的可利用漏洞标记有:CVE-2023-48795、CVE-2023-46445、CVE-2023-46446,今天趁着周末时间更新一个针对RPM系与DEB系Linux系统源码安装OpenSSHServer 9.6P1版本的教程,适用于CentOS、AlmaLinux、RockyLinux、Debian、Ubuntu等,原则上也适用于国内操作系统如:统信UOS、OpenEuler、麒麟、龙溪等操作系统SSH升级。 本文档针对centos7进行升级操作
麒麟v10系统arm64架构openssh9.7p1的rpm包
最新发布
weixin_43723044的博客
06-07 506
rpmbuild -ba openssh.spec执行时遇到报错“cannot use --with-ssl-dir when OpenSSL disabled”系统信息:4.19.90-17.ky10.aarch64 GNU/Linux升级前备份好文件/etc/ssh、/etc/pam.d等以及开启telnet。后排查为修改openssh.spec配置,执行了上面注释行修改导致。在之前制作过openssh-9.5p1基础上继续操作。需要去掉–with-ssl-dir配置,修改为。
openSSH升级常见报错汇总
知也无涯
09-10 9233
openSSH升级(常见报错) 目录 1:编译安装gcc 2:升级openSSL 3:openssl-devel安装 4:安装pam-devel 5:sshd未识别的服务 6: Linux每次重启xshell拒绝连接(已经开通root) 7: centos7升级openssh,启动ssh服务失败 8: checking OpenSSL library version... configure: error: OpenSSL >= 1.0.1 required (have "1..
openssl 编译安装
Tzhennan的博客
06-03 5812
官方下载地址:https://www.openssl.org/source/#解压$ tar -zxvf openssl-1.1.0h.tar.gz$ cd openssl-1.1.0h#配置(使用sudo是因为要prefix的访问权限)$ sudo ./config --prefix=/usr/local/openssl该步骤出现如下警告Configured for darwin-i386-cc...
openssl版本升级
weixin_56667320的博客
11-08 1920
openssl版本升级
手把手教你在 CentOS 7 下升级 OpenSSL
dougsu的博客
06-04 9751
在这篇文章中,详细介绍了在 CentOS 7 系统下如何升级 OpenSSL。首先,介绍升级 OpenSSL 的必要性安装依赖,接着,我们进行了升级前的准备工作,包括安装依赖,备份当前配置和检查系统版本。在这之后,我们详细介绍了 OpenSSL 的下载、安装和配置过程,包括如何下载最新版本的 OpenSSL,解压和安装,以及编译和安装新安装的 OpenSSL。希望本文能为您提供在 CentOS 7 下升级 OpenSSL 的全面指南,帮助您顺利完成这个过程。
编译PHP7 重新指定openssl 路径时报错:configure: error: Cannot find OpenSSL's libraries
zhuchangsong999的博客
05-22 2577
针对这个问题困扰了我好久,为了找到原因直接在configure文件中打印调试信息最终发现问题 在指定 --with-openssl=/usr/local/ssl (openssl 编译安装路径) 同时还要指定一下 --with-libdir=lib 要不然找不到openssl的安装路径 如果还是没法解决的话看看是不是你的openssl安装目录下面没有头文件(/usr/local/s...
CentOS5/6/7/8 OpenSSH升级(源码编译安装)
刘元林的博客
03-16 6211
安装依赖 yum -y install gcc gcc-c++ zlib zlib-devel openssl openssl-devel pam-devel zlib是必须的,同时没有libcrypto编译安装OpenSSH是被允许的,但是其所使用的加密算法会被严格限制。 libcrypto from either of LibreSSL or OpenSSL. Building without libcrypto is supported but severely restricts th..
Linux安装libcoap,升级更新openssl
m0_38084180的博客
05-06 1848
对于centos7,自带的openssl版本为1.0.2k,不满足libcoap对于dtls的支持,libcoap编译会报错:configure: error: ==> OpenSSL 1.0.2k too old. OpenSSL >= 1.1.0 required for suitable DTLS support build.因此需要升级openssl1.1.0版本及以上,升级就分为openssl升级和libcoap的安装,步骤如下: 升级Openssl 这个方法同样适用于升级O
openssh-9.5p1-openssl-1.1.1w
11-01
openssh-9.5p1-1.el7.x86_64.rpm openssh-clients-9.5p1-1.el7.x86_64.rpm openssh-debuginfo-9.5p1-1.el7.x86_64.rpm openssh-server-9.5p1-1.el7.x86_64.rpm openssl-1.1.1w-1.el7.centos.x86_64.rpm openssl-...
基于RHEL7(CentOS7)构建的OpenSSH9.5p1的RPM包
01-12
构建基于RHEL7(CentOS7)的OpenSSH9.5p1的RPM包 https://blog.csdn.net/ynz1220/article/details/135553909 openssl版本:1.1.1w,安装路径:/usr/local/openssl-1.1.1w。官方最新版是openssl3,考虑到系统老旧,...
centos7离线升级openssh9.4包含升级脚本
09-15
本文将详细介绍如何在CentOS7系统上离线升级OpenSSH 9.4,以及如何使用提供的升级脚本来简化这一过程。 首先,我们要理解的是OpenSSH的版本升级对于系统的安全性至关重要。OpenSSH的每次更新都会修复已知的安全...
openssh-9.5p1-1.el7.x86-64.tgz
10-13
openssh 9.5 p1 版本 2023年10月4日发布 当前最新版本openssh 适用于centos 7 redhat 7 安装使用的二进制rpm包文件 升级更新openssh,修复安全漏洞等需要 基于openssl 1.1.1w版本制作
configure: error: OpenSSL library not found
热门推荐
qq837468220的专栏
03-17 1万+
解决configure: error: OpenSSL library not found
linux查找openssl安装包,linux-OpenSSH 7.3p1构建:configure仅查找旧版本的OpenSSL
weixin_28726969的博客
05-14 1411
我正在尝试在安装了旧版OpenSSL版本的Linux机器中构建OpenSSH 7.3p1.首先,我已经成功编译了OpenSSL 1.0.2h,并将其安装在/opt/openssh-1.0.2h中,而不是在旧的OpenSSL版本所在的/ usr中.tar xzf openssl-1.0.2h.tar.gzcd openssl-1.0.2h./config --prefix=/opt/openssl-...
centos 7.4_centos 7.3_安装openssh9.5p1_openssl1.1.1w
x191207160的博客
11-01 787
centos 7.4_centos7.3_安装openssh9.5_openssl1.1.1w
Linux保姆级升级安装openssl3.2.0版本教程
qq_43127208的博客
04-15 2157
​ 作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。​ OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。​ OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。
centos openssh 9.5 openssl 3.0
11-10
CentOS是一款流行的Linux操作系统,而OpenSSH是一种用于在网络上安全地连接到远程计算机的工具。OpenSSL是一个用于安全传输数据的加密库。CentOS 9.5版本与OpenSSH 3.0版本将为用户提供更加安全和稳定的功能。 CentOS 9.5版本的更新将带来更多的安全补丁和性能优化,以及对新硬件和技术的支持。同时,OpenSSH 3.0版本将加强对加密和身份验证的支持,提供更加稳定和安全的远程连接体验。而OpenSSL 3.0版本将提供更多的加密算法和安全协议,以应对不断增长的网络安全挑战。 在CentOS 9.5版本中集成了OpenSSH 3.0和OpenSSL 3.0,用户将享受到更加安全和稳定的操作系统,并且可以利用新的加密算法和协议来保护其数据和隐私。这将有助于用户更好地保护其网络通信和数据传输的安全,同时也有利于提高系统的性能和稳定性。 总之,CentOS 9.5集成了OpenSSH 3.0和OpenSSL 3.0,将为用户带来更多的安全功能和性能优化,以及对新技术和硬件的支持。这将使CentOS成为更加安全可靠的操作系统,为用户提供更好的远程连接和数据传输体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值