Linux 解决Openssh的ssl版本与openssl版本不一致问题

已于 2022-07-06 16:58:44 修改
阅读量1.1w 收藏 20
点赞数 2
文章标签: linux ssl 运维
于 2022-07-06 16:23:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41570012/article/details/125640704
版权

**

Linux 解决Openssh的ssl版本与openssl版本不一致问题

**
首先你的服务器里的openssl版本是最新的,而你用的ssh的rpm升级包却是1.0.2k版本的,而又需要让ssh里的ssl版本与openssl版本一致,那就需要你在这台openssl版本最新的服务器上进行制作rpm包。

不一致情况如下所示

[root@ x86_64]# ssh -V
OpenSSH_9.0p1, OpenSSL 1.0.2k-fips  26 Jan 2017
[root@ x86_64]# openssl version
OpenSSL 1.1.1g  21 Apr 2020

第一步:安装最新的openssl
这一步在我另一个帖子里,可以跟着一起走。

第二步:下载最新的openssh包和x11-ssh-askpass-1.2.4.1.tar.gz,最好在官网上下载

openssh9.0p1

x11-ssh-askpass-1.2.4.1.tar.gz

第三步:需要准备编译环境(若是有都可以不用下,若是没有则都要下)

yum install rpm-build gcc make wget openssl-devel krb5-devel pam-devel libX11-devel xmkmf libXt-devel initscripts

这里有gcc、ssl(这个ssl在第一步安装后可以不需要再装,gcc这些有也可以忽略毕竟前面都装了openssh成功了这些依赖都是必须的得有的)

第四步:准备rpmbuild环境

mkdir -p /root/rpmbuild/SOURCES
mkdir -p /root/rpmbuild/SPECS
cp /root/openssh-9.0p1.tar.gz /root/rpmbuild/SOURCES/
cp /root/x11-ssh-askpass-1.2.4.1.tar.gz /root/rpmbuild/SOURCES/
tar -zxf openssh-9.0p1.tar.gz -C /home/user
cp /home/user/openssh-9.0p1/contrib/redhat/openssh.spec /root/rpmbuild/SPECS/
chown sshd:sshd /root/rpmbuild/SPECS/openssh.spec c

/home/user/openssh-9.0p1/ 这指的是你解压的路径,可以更改

修改/root/rpmbuild/SPECS/openssh.spec配置文件
注意:这点可以处理openssl version和ssh -V显示得版本不一致问题。
增加openssl路径,会识别到新版本得openssl,在安装过程也会优先安装openssl1.1.1后,才能正常启动openssh。

sed -i -e "s/%global no_gnome_askpass 0/%global no_gnome_askpass 1/g" /root/rpmbuild/SPECS/openssh.spec
sed -i -e "s/%global no_x11_askpass 0/%global no_x11_askpass 1/g" /root/rpmbuild/SPECS/openssh.spec
sed -i -e "s/^BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" /root/rpmbuild/SPECS/openssh.spec
sed -i -e '/with-privsep-path/a\  --with-openssl-includes=/usr/local/openssl/include \\\n  --with-ssl-dir=/usr/local/openssl \\' /root/rpmbuild/SPECS/openssh.spec

其中这个openssl-devel < 1.1 值得时openssl的devel依赖不低于1.1;
/usr/local/openssl/include 这个指的是你openssl安装路径,一定要是安装路径否则会找不到。

第五步:在/root/rpmbuild/SPECS/目录中执行命令

rpmbuild -ba openssh.spec

这里执行完我报了个错
configure: error: PAM headers not found(或者是中文语言找不到PAM头)

这里需要安装pam-devel

yum -y install pam-devel

再重新执行上一个命令!

第六步:最后rpm包则生成在/root/rpmbuild/RPMS/x86_64目录中

root@ SPECS]# ll /root/rpmbuild/RPMS/x86_64/
总用量 4772
-rw-r--r--. 1 root root  689384 76 14:38 openssh-9.0p1-1.el7.x86_64.rpm
-rw-r--r--. 1 root root  679276 76 14:38 openssh-clients-9.0p1-1.el7.x86_64.rpm
-rw-r--r--. 1 root root 3048624 76 14:38 openssh-debuginfo-9.0p1-1.el7.x86_64.rpm
-rw-r--r--. 1 root root  462816 76 14:38 openssh-server-9.0p1-1.el7.x86_64.rpm

看到这些恭喜你已经成功一半了!

第七步:重新安装openssh9.0
(1)一定要先开telnet服务,不要觉得一帆风顺,凡是都留一手,因为再升级openssh途中,原本的ssh连接会容易掉的,而且一旦掉了,你又没法直接操作虚拟机,那不好意思你彻底凉透了。

开启telnet服务首先要安装包

yum install telnet-server
yum install xinetd telnet-server telnet -y

(2)安装完需要修改配置文件

vim /etc/xinetd.d/telnet

若没有这个telnet文件,就新建一个

# default: on:
# description: The telnet server serves telnet sessions; it uses \
# unencrypted username/password pairs for authentication.
    service telnet
     {
      flags = REUSE
       
       socket_type = stream
        
        wait = no
         
         user = root
          
          server = /usr/sbin/in.telnetd
           
           log_on_failure += USERID
            
            disable = yes
             
             }

将disable =yes 改为no

(3)然后保存,并执行命令。

service xinetd restart

(4)同时有防火墙记得把防火墙的23端口打开了,否则你这个开了跟没开一样,进不去。

(5)完成以上步骤后,先试试telnet 这个服务器23端口 直接先用账号把该服务器登录上再说。

(6)记得备份好ssh文件

mkdir ssh_backfile
cp -rf /etc/ssh ssh_backfile/
cp -rf /etc/pam.d/sshd ssh_backfile/

mkdir ssh_service
cp -rf /usr/lib/systemd/system/sshd* ssh_service/

(7)进行ssh升级
若是有安装同样版本的ssh,需要先卸载再装,否则就不需要

#卸载当前openssh所有的安装包
rpm -e --nodeps `rpm -qa | grep openssh
#先进到/root/rpmbuild/RPMS/x86_64/ 这个目录下再执行以下命令
rpm -Uvh openssh* --nodeps
#执行命令后如下所示
[root@ x86_64]# rpm -Uvh openssh* --nodeps
准备中...                          ################################# [100%]
正在升级/安装...
   1:openssh-9.0p1-1.el7              ################################# [ 25%]
   2:openssh-clients-9.0p1-1.el7      ################################# [ 50%]
   3:openssh-server-9.0p1-1.el7       ################################# [ 75%]
   4:openssh-debuginfo-9.0p1-1.el7    ################################# [100%]

(8)恢复备份文件

cp -rf ssh_backfile/ssh/* /etc/ssh/
chmod -R 600 /etc/ssh/*
cp -rf ssh_backfile/sshd /etc/pam.d/sshd
service sshd restart
(或)
systemctl restart sshd

(9)查看结果

[root@ x86_64]# ssh -V
OpenSSH_9.0p1, OpenSSL 1.1.1g  21 Apr 2020
[root@ x86_64]# openssl version
OpenSSL 1.1.1g  21 Apr 2020

看到这一步时候就已经成功了,成功解决了openssh -V和opebssl version版本不一致的情况。

(10)记住完成后,先试试ssh连接是否能够上去,能上去就说明成功了,若是没上去,说明安装出问题了,从头开始找或者换一个方式来升级。不过一般来说有问题都是依赖没对!所以制作rpm包的服务器最好是在可以连上外网的服务器,可以使用yum源的服务器,否则将会很困难。

这是我已经做好的openssh9.0 rpm包,而且已经是成功安装了的,大家偷懒的话可以试试

我是根据下面这位大佬来进行一步一步根据自己服务器实际情况来操作的,感谢这位大佬的文献!
https://blog.csdn.net/weixin_43723044/article/details/124301627

告辞啥都不会
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
openssh9.0p1-openssl-1.1.1o-ssh-copy-id.tgz
05-13
基于opessl-1.1.1o版本构建,openssh9.0p1 主要用于安全漏洞升级,openshh-clients客户端内含ssh-copy-id命令
ssh -V和openssl version 看到版本一致问题解决
热门推荐
lijq3370的博客
05-20 1万+
前几天通过rpm方式更新完openssh后,查看ssh -V和openss version 发现openssl版本一致 # ssh -V OpenSSH_8.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 # openssl version OpenSSL 1.1.1k 25 Mar 2021 原因是ssh -V显示的是openssh 编译成rpm包时使用的openssl,不是当前部署的openssl 解决办法是通过源码安装openssh,或者在openssl下重新
OpenSSH&OpenSSL至最新版本
qq_49081692的博客
03-27 5218
openssh&openssl升级
升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结
最新发布
fish332的博客
06-04 2315
近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的opensshopenssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此记录下来,供有需要的人参考。
升级openssh版本一致问题
iris_csdn的博客
05-27 1967
[root@ecs-7ef8 ~]# ssh -V OpenSSH_8.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 [root@ecs-7ef8 ~]# /usr/bin/ssh -V OpenSSH_8.7p1, OpenSSL 1.1.1o 3 May 2022 [fortress@ecs-7ef8 ~]$ ssh -V OpenSSH_8.7p1, OpenSSL 1.1.1o 3 May 2022 [fortress@ecs-7ef8 ~]$ which ...
centos7升级openssl1.1.1w版本
CutelittleBo的博客
04-10 887
【代码】centos7升级openssl1.1.1w版本
关于SSH整合以及容易出现的问题
xiao_jianxiaoxian的博客
08-01 309
最近在自学SSH这个老框架,很多朋友问我你为什么不直接学习SSM框架,我说想先拿SSH先试试手,而且现在有一些公司还依旧有SSH的应用市场,经过13天的学习终于将SSH整合在一起。不多说,进入正题。 一、SSH框架版本 (1)、Struts2采用的是2.5.16,主要的核心Jar包 这里不解释包的作用,Jar包的数量也是根据自己的需求,没有固定,这里只加入基础的Jar包 (2)、Hib...
升级openssh遇到ssh -V版本不对,opensslssh-V命令还是老版本问题
m0_47506450的博客
02-26 8549
升级openssh在网上找 解决ssh -V 出来的信息还是老版本信息: 执行以下两个命令,这命令得到的信息就是ssh -V读取的信息,也就是说新装的东西还没有被读到 可以把新装的东西放到这两个路径来。记得备份 [root@localhost ~]# which ssh /usr/local/bin/ssh [root@localhost ~]# which sshd /usr/local/sbin/sshd ...
编译安装openssl及安装完openssl后使用 ssh -V 查看依然是旧版openssl原因
qq_42249813的博客
06-29 5524
升级openssl
openssh9.0p1 openssl1.1.1g版本
07-06
在升级到OpenSSH 9.0p1和OpenSSL 1.1.1g时,管理员应特别注意兼容性问题,尤其是与旧版本的客户端和服务端。此外,更新过程需要谨慎进行,遵循最佳实践,包括备份现有配置,确保所有依赖项已更新,并在生产环境中...
linux7升级到 openssl3.0.2 openssh8.9.p1
04-06
linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9...
centos7 openssh-9.1 openssl-1.1.1q rpm离线安装包
10-18
8. **系统更新**:最后,执行`yum update`以确保系统其他部分也得到相应更新,与新版本OpenSSHOpenSSL兼容。 离线安装OpenSSHOpenSSL是一个复杂的过程,需要仔细操作,以避免破坏系统的稳定性和安全性。通过...
openssl各个版本
12-03
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信,广泛应用于网络服务器、应用程序以及操作系统中。它包含了各种加密算法、证书处理功能,以及用于实现SSL/TLS协议的工具。在这个压缩包...
Linux6.4升级openssl1.1.1k和openssh至8.6.docx
07-27
本文档详细介绍了如何升级Linux系统中的OpenSSL版本到1.1.1k和OpenSSH版本到8.6。升级这些组件可以提高系统的安全性和性能。 首先,需要拷贝并解压缩新的安装包openssl-1.1.1k.tar.gz和openssh-8.6p1.tar.gz到/home...
openssh 8.1-8.4涉及漏洞,升级修复填坑处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-16 5383
问题描述 安全部门检查业务系统,反馈业务系统所属云主机存在关于openssh的相关漏洞,主要涉及如下: 1)OpenSSH 命令注入漏洞(CVE-2020-15778)(高危) OpenSSH 8.4p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。 修复建议:目前SSH已发布新的版本,请及时升级。 2)OpenSSH 输入验证错误漏洞(CVE-2020-12062)(高危) 漏洞影响
主机安全加固--升级opensshopenssl
MR_独书
08-26 2991
绿盟漏洞扫描结果: OpenSSHSSH协议的开源实现。 OpenSSH的默认服务器配置在管理连接槽的实现上存在拒绝服务漏洞,远程攻击者可利用此漏洞耗尽服务器上连接槽,触发拒绝服务。
Linux 升级Openssh以及Openssl版本
m0_50932526的博客
12-07 8846
服务器漏洞,需要升级openssh版本到9.0。 如果在执行后指令提示,是因为目标机上没有安装wget指令,需进行wget指令安装; 二、解压压缩包 下载完成后,解压压缩包 查看opt目录 三、删除原有的相关文件 先卸载openssh服务 若出现下列 相关错误, 执行 后重新卸载openssh服务 四、安装编译新的ssh 进入到自己解压好的ssh目录下(根据自己实际情况,每个人解压的目录可能不一样) 安装编译: 安装过程中,可能出现如下错误: 若提示,执行后重新进行安装编译
centos7.9 回退opensshopenssl版本
06-11
在 CentOS 7.9 中,您可以使用以下命令回退 OpenSSHOpenSSL 版本: 1. 回退 OpenSSH - 查看当前安装的 OpenSSH 版本:`rpm -qa | grep openssh` - 卸载当前版本OpenSSH:`yum remove -y openssh-server openssh-clients` - 下载旧版本OpenSSH:可以通过从 CentOS 官网下载旧版本OpenSSH,也可以使用 yumdownloader 命令下载。例如,如果要下载 OpenSSH 7.6p1 版本,可以使用以下命令:`yumdownloader --enablerepo=base --releasever=7.6 openssh-server openssh-clients` - 安装旧版本OpenSSH:`yum install openssh-server-7.6p1-2.el7.x86_64.rpm openssh-clients-7.6p1-2.el7.x86_64.rpm` - 启动 OpenSSH:`systemctl start sshd` 2. 回退 OpenSSL - 查看当前安装的 OpenSSL 版本:`rpm -qa | grep openssl` - 卸载当前版本OpenSSL:`yum remove -y openssl openssl-libs` - 下载旧版本OpenSSL:可以通过从 CentOS 官网下载旧版本OpenSSL,也可以使用 yumdownloader 命令下载。例如,如果要下载 OpenSSL 1.0.2k 版本,可以使用以下命令:`yumdownloader --enablerepo=base --releasever=7.4 openssl openssl-libs openssl-devel` - 安装旧版本OpenSSL:`yum install openssl-1.0.2k-19.el7.x86_64.rpm openssl-libs-1.0.2k-19.el7.x86_64.rpm openssl-devel-1.0.2k-19.el7.x86_64.rpm` - 配置环境变量:`export LD_LIBRARY_PATH=/usr/local/ssl/lib` - 启动 OpenSSH:`systemctl start sshd` 注意:在回退 OpenSSL 版本时,可能会对其他软件产生影响,因此需要谨慎操作。 希望这些步骤能够帮助您成功回退 OpenSSHOpenSSL 版本

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值