记一次手动将OpenSSH从7.4升级到9.3的过程

最新推荐文章于 2024-06-04 20:06:17 发布
最新推荐文章于 2024-06-04 20:06:17 发布
阅读量6.7k 收藏 24
点赞数 5
文章标签: 服务器 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanglong126/article/details/130291188
版权

前言

收到通知说服务器组件存在漏洞

image

服务器版本:CentOS 7.9.2009 x86_64

目前SSH版本:OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

使用yum升级yum update -y openssh

最新版本还是:OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

接下来尝试手动升级

前置操作

为了避免升级过程中出现的意外导致服务器无法进行连接,建议对重要的内容先进行备份

创建快照

在主机服务商那里为主机创建快照,防止最糟糕的事情发生

备份配置文件

备份 /etc/pam.d/sshd 文件

[root@bogon ~]# mv /etc/pam.d/sshd /etc/pam.d/sshd-bak
[root@bogon ~]# ls -l /etc/pam.d/sshd*
-rw-r--r-- 1 root root 904 Nov 25  2021 /etc/pam.d/sshd-bak

安装telnet

升级过程中会卸载旧版本 ssh 导致远程无法连接,所以先安装一个 telnet

安装

rpm -q telnet-server
#检查是否安装了telnet服务端
rpm -q telnet
#检查是否安装了telnet客户端

提示package telnet-server is not installed表示未安装

yum install telnet-server  -y
#安装telnet服务端

yum install telnet -y
#安装telnet客户端

启动

systemctl enable telnet.socket
#设置开机启动该

systemctl start telnet.socket
#打开服务

防火墙开放23端口

使用telnet ip地址进行连接登录

允许root登录

默认系统不允许root用户使用telnet远程登陆

echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty

可能还需要添加下 pts/3 和 pts/4

输入正确的密码还是不能登录

主机端执行:tail /var/log/secure

看到了access denied: tty 'pts/3' is not secure !

再添加一个

echo 'pts/3' >>/etc/securetty

重启了telnet后再登录一切正常了

开始升级

执行下方操作前,请确认telnet外部连接正常

下载升级包

可用版本下载

http://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/

地址中列出了可用的版本升级文件,我本次计划升级到9.3,使用的是openssh-9.3p1.tar.gz

可以使用本地网络下载压缩包后上传到服务器opt目录,也可以在服务器内执行命令下载

cd /opt/
wget http://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz

解压

tar -zxvf openssh-9.3p1.tar.gz

cd openssh-9.3p1

安装依赖

安装

务必确认已快照,已配置telnet

备份配置文件

cp /etc/ssh/sshd_config sshd_config.backup
cp /etc/pam.d/sshd sshd.backup

卸载旧版本

rpm -e --nodeps `rpm -qa | grep openssh`

安装依赖

yum -y install gcc pam-devel zlib-devel openssl-devel

编译配置

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords --with-pam

编译安装

make && make install

调整文件权限

chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key

复制配置文件

cp -a contrib/redhat/sshd.init /etc/init.d/sshd
chmod u+x /etc/init.d/sshd

还原配置文件

mv ../sshd.backup /etc/pam.d/sshd
mv ../sshd_config.backup /etc/ssh/sshd_config

添加开机启动

chkconfig --add sshd
chkconfig sshd on

重启sshd

systemctl restart sshd
#重启

ssh -V
#查看版本

成功升级到OpenSSH_9.3p1, OpenSSL 1.0.2k-fips 26 Jan 2017

登录验证,如果出错,可以查看踩坑记录

踩坑记录

账号密码错误

未开启root登录

检查/etc/ssh/sshd_config是否存在

PermitRootLogin yes

账户锁定

使用正确的账号密码登录,始终返回账号密码错误

检查root账户是否被锁定 cat /etc/shadow | grep root

root:$6$88xxxxxxxxxxx:::

如果密码前有两个!!(如root:!!$6$884zQxxx)则表示锁定

解除root锁定passwd -u root

Unlocking password for user root.
passwd: Success

WinSCP无法连接

连接被关闭了
无法初始化SFTP协议。主机是SFTP服务器吗?

修改连接配置,将文件协议从SFTP修改为SCP

PS:升级了两台服务器,只有一台有这个问题.这不是一个很好的解决方案,但是我没找到原因(大牛可以指正)

无法登录

在服务器中查看状态service sshd status得到了下面得到Failed记录

Apr 21 09:01:15 bogon sshd[542]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x  user=root
Apr 21 09:01:15 bogon sshd[542]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Apr 21 09:01:16 bogon sshd[542]: Failed password for root from x.x.x.x port 56012 ssh2
Apr 21 09:01:24 bogon sshd[542]: Accepted password for root from x.x.x.x port 56012 ssh2

以下解决方案摘自阿里云

检查这三个配置文件,是否限制了登录(如pam_succeed_if.so uid >= 1000

文件功能说明
/etc/pam.d/login控制台(管理终端)对应的配置文件。
/etc/pam.d/sshdSSH远程登录对应的配置文件。
/etc/pam.d/system-auth系统全局配置文件

如果有限制,注释相关配置,或者修改策略

auth        required      pam_succeed_if.so uid <= 1000      # 修改策略
# auth        required      pam_succeed_if.so uid >= 1000    # 注释相关配置
IT老大哥
关注
  • 5
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
史诗级详细离线更新centos系统的openssh升级到9.3p1!!
qq_43913213的博客
07-03 1万+
离线更新openssh步骤 文章目录 前言 一、openssh是什么? 二、更新步骤 1.查看相关组件版本是否存在(代码包已全部打包) 2.进行openssh离线更新 总结(安装时可能出现的问题等) 前言 对于可能很多人在离线更新openssh时都没找到一篇能解决实际问题的文章,那么今天它来了,请往下看。 提示:在进行生产环境操作时,需谨慎在尽可能一样的虚拟环境进行验证操作。(OS:如果不放心可以双保险,开启Telnet服务,具体步骤需自行搜索) 一、openssh是什么?   Op
使用rpm包升级OpenSSH9.3版本
wzc4666的博客
02-02 1063
5.关于/etc/pam.d/sshd 、/etc/ssh/sshd_config的内容:我先在别的机器的成功过,但后面有的机器还原了备份也有问题,我对比成功机器和问题机器/etc/pam.d/sshd 、/etc/ssh/sshd_config的内容,发现差别挺大。后面我这两文件的内容全用成功机器里的(拷过来pam.d-noerror.bak 、ssh-noerror.bak或者直接复制粘贴)代替了,后面也通了。升级完后,我的几台机器ssh连不上了,查明原因:公匙改变了。所以补充了这两行参数。
openssh-9.3p1.zip
04-13
只需要执行根目录下的update_ssh.sh文件,即可升级成功(depend文件夹存放所需依赖,openssh-9.3p1文件夹存在相关rpm文件)
升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结
最新发布
fish332的博客
06-04 3206
近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的openssh和openssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此录下来,供有需要的人参考。
OpenSSH升级最新版本
m0_65038436的博客
11-07 2023
/configure --with-ssl-dir=#OpenSSL路径。本次下载的版本为openssl-3.0.12.tar.gz。升级最新的OpenSSH需要升级OpenSSL最新。#需要在 ./configure增加参数。
OpenSSH 漏洞修复升级最新版本
morecccc的博客
12-02 5413
OpenSSH 漏洞修复升级最新版本
Centos7 升级openssh到最高版本
“看见月亮就想起你”的博客
10-13 3511
注:由于Centos7自带的openssh版本过低且存在漏洞,所以为了安全考虑我们需要升级openssh到最高版本 1.先通过yum更新,会将openssh自动更新到最高版本 yum -y update openssh 如果报错 /var/run/yum.pid已被锁定 则执行命令删除: rm -rf /var/run/yum.pid 注:由于yum中的openssh未必已经同步了openssh中的最高...
Centos openssh7.4p1升级到9.3p1的rpm安装包
06-21
yum localinstall openssh-9.3p1-1.el7.x86_64.rpm openssh-clients-9.3p1-1.el7.x86_64.rpm openssh-server-9.3p1-1.el7.x86_64.rpm -y 此rpm包测试通过,详细安装步骤参考这个连接,这里写不下: ...
openssh7.4p1 升级openssh9.3p2 所需的离线包
09-13
内容包括:gcc openssl-devel pam-devel rpm-build zlib 这些命令包,同时还包括:openssh-9.3p2.tar.gz、openssl-1.1.1t.tar.gz离线包; 各个版本为:gcc-->4.8.5、openssl-->1.1.1、pam-->1.1.8、zlib-->1.2.7 ...
本文档适用于CentOS7.x从openssh7.4p1升级openssh8.5p1.zip
03-18
本文档将详细介绍如何在CentOS 7.x上从openssh 7.4p1升级openssh 8.5p1的过程。 首先,我们需要确保系统已经更新到最新状态,这可以通过运行以下命令实现: ```bash sudo yum update -y ``` 接下来,我们需要...
OpenSSH升级openssh-9.3p2程序包
01-15
本文将深入探讨升级OpenSSHopenssh-9.3p2的过程以及涉及到的相关组件。 首先,我们来看看压缩包中包含的文件: 1. `perl-5.38.0.tar.gz`: Perl是一种强大的脚本语言,常用于系统管理、网络编程等。在OpenSSH升级...
不上网centos7系统升级openssh9.3
03-23
本文将详细介绍如何在不联网的CentOS 7系统上,通过本地RPM包升级OpenSSH到9.3版本。 首先,我们理解为何需要升级OpenSSHOpenSSH是开源项目,持续进行安全性和功能性的改进。新版本通常修复了已知的安全漏洞,...
Ctyun系统升级OpenSSH 9.3详细教程
高性价比服务器就选:蓝易云
06-15 1315
OpenSSH是一种安全的远程登录协议,它提供了加密的通信通道,可以保护用户的登录信息和数据。在Ctyun系统中,OpenSSH是默认的远程登录协议。为了提高系统的安全性,我们可以升级OpenSSH到最新版本9.3。现在,您已经成功升级OpenSSH到最新版本9.3,并配置了SSH服务。您可以使用SSH客户端连接到Ctyun系统,以进行安全的远程登录。在浏览器中输入Ctyun系统的IP地址或域名,然后输入用户名和密码进行登录。这将启用SSH服务,并将其绑定到所有可用的IP地址上。
Linux OpenSSH最新版9.7p1升级操作详细教程
zt19820204的博客
04-17 1万+
从各渠道及官方公布的漏洞来看,9.6p1以下版本均受到影响。截止发稿前,Openssh官方查看最新版本为2024年3月11日发布的9.7p1,本次将更新升级至此版本,来提高系统安全系数。
升级OpenSSH版本至OpenSSH_9.3p1
toutuopang的博客
07-21 1054
升级OpenSSH版本至OpenSSH_9.3p1
Openssh升级方法
热门推荐
Katie_ff的博客
07-09 1万+
使用:https://www.openssl.org/source/openssl-1.1.1h.tar.gz下载未升级版本的1.1.1版本。在官网上下载https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/检测之前安装的包(openssl和openssh都要更新,openssh依赖于openssl)openssh-7.5p1.tar.gz 安装包 拖入到opt下。将openssl-1.1.1h.tar.gz拖入到opt目录下。
【Linux】CentOS升级openssh到最新版
sparr0w的博客
09-24 3147
本篇主要针对漏洞扫描结果中,openssh旧版漏洞的修复。
linux系统将OpenSSH升级到最高版本
malz_zh的博客
07-28 3228
公司安全扫描到主机的OpenSSH安全漏洞,由于是虚拟机只能由自己修复,很多OpenSSH的漏洞厂商都没有提供补丁,只能通过禁用scp或者端口的方式临时解决,但是后面使用就不方便了,而且也不安全,所以直接将OpenSSH升级到现在的最高版本openssh-9.3p2,ssl升级到1.1.1。
Centos7主机升级OpenSSH9.3版本
enchanterzj的博客
05-02 4368
因主机安全扫描的原因,Centos默认安装的是OpenSSH_7.4p1,为了解决安全漏洞需要升级OpenSSH版本。本文提供了一种快速升级OpenSSH9.3p1的方法。
openssh7.4升级至9.3
08-15
为了将OpenSSH 7.4升级到9.3,可以按照以下步骤进行操作。 首先,确保已经准备好了升级所需的二进制包和依赖包。 然后,解压安装包并进行以下步骤: 1. 升级zlib。 2. 升级openssl。在升级之前,得备份原有的openssl。 3. 编译安装openssl并进行备份。 4. 卸载旧版本的ssh并进行编译安装新版本的ssh。 5. 还原、更新启动或配置文件。 6. 启动sshd。 在升级后可能会遇到一些问题,比如无法连接SFTP或SSH登录时提示重新输入密码但仍然无法连接。针对这些问题,你可以参考相应的解决办法进行处理。 需要注意的是,以上步骤是基于编译安装的方式进行的,如果你使用的是CentOS 7系统,也可以通过yum进行升级。具体的升级命令是:`yum localinstall openssh-9.3p1-1.el7.x86_64.rpm openssh-clients-9.3p1-1.el7.x86_64.rpm openssh-server-9.3p1-1.el7.x86_64.rpm -y`。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Centos openssh7.4p1升级到9.3p1的安全操作](https://blog.csdn.net/ericyee/article/details/131320567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [升级Openssh 7.4p1至9.3p1](https://blog.csdn.net/Ethin_l/article/details/131389793)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [《Linux运维总结:Centos7.6之OpenSSH7.4升级版本至9.3》](https://blog.csdn.net/m0_37814112/article/details/131632432)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值