CentOS 7 升级 OpenSSH 9.6 (官方简单步骤)

已于 2024-09-06 18:04:03 修改
阅读量1.7k 收藏 26
点赞数 18
分类专栏: 操作系统 文章标签: centos 运维 ssh
于 2024-09-06 17:26:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangyong_/article/details/141956934
版权

文章目录

场景

手头有很多业务跑在 CentOS 7.x 环境,系统太老且OpenSSH 使用官方rpm包最高只能升级到7.4。要修复OpenSSH 最近的高危漏洞,只能使用OpenSSH 源码包手工编译。需要注意的点:

  • OpenSSH 提供多种操作系统分发版的打包,CentOS 7.x 可以打出rpm包,不建议使用 make install 方式安装
  • OpenSSH 需要 openssl >= 1.1.1,CentOS 官方没有这个版本,因此OpenSSH 在 CentOS 7 默认使用 --without-openssl 编译。这完全不影响ssh和sshd日常使用,后续再补全openssl-1.1.1编译步骤

准备环境

1. 编译环境

在 CentOS 7 中安装各种库、头文件、编译器和打包工具,yum 源可以配置aliyun的centos-vault

yum groupinstall -y "Development Tools"
yum install -y zlib-devel pam-devel krb5-devel
yum install -y rpmdevtools imake libXt-devel gtk2-devel

# 创建 编译和打包 的目录结构
rpmdev-setuptree
# 完成后创建以下目录
# /root/rpmbuild/SOURCES
# /root/rpmbuild/SPECS
# /root/rpmbuild/BUILD
# /root/rpmbuild/RPMS
# /root/rpmbuild/SRPMS

完成后/root/rpmbuild目录结构如下

rpmbuild目录结构

2. 下载源码

默认编译需要用到 openssh 和 x11-ssh-askpass 两套源码,源码包保存到/root/rpmbuild/SOURCES/目录下,无需解压:

cd /root/rpmbuild/SOURCES/

# 使用aliyun镜像下载openssh
curl -LO https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.6p1.tar.gz

# x11-ssh-askpass-1.2.4.1
wget http://www.jmknoble.net/software/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz

至此编译环境已准备好

编译OpenSSH

编译过程:

  1. 从 openssh 源码包中解压出 RedHat 用的SPEC文件,CentOS 同样适用,放在/root/rpmbuild/SPECS目录下
  2. 编译 + 打包,编译过程一般不会出错,最终得到 rpm 包
# 找到openssh包并解压spec
cd /root/rpmbuild/SOURCES/

tar -xvzf openssh-9.6p1.tar.gz \
	-C /root/rpmbuild/SPECS/ \
	--strip-components=3 \
	openssh-9.6p1/contrib/redhat/openssh.spec

# 到 /root/rpmbuild/SPECS/ 目录下
# 使用 openssh.spec 编译和打包
rpmbuild -ba openssh.spec

rpmbuild不报错执行完,编译和打包结果会放在/root/rpmbuild/RPMS/x86_64/目录下
编译和打包结果

安装

安装比较简单,rpm或yum均可

cd /root/rpmbuild/RPMS/x86_64

rpm -Uvh openssh-9.6p1-1.el7.x86_64.rpm \
	openssh-server-9.6p1-1.el7.x86_64.rpm \
	openssh-clients-9.6p1-1.el7.x86_64.rpm 

# 或执行

yum install -y openssh-9.6p1-1.el7.x86_64.rpm \
	openssh-server-9.6p1-1.el7.x86_64.rpm \
	openssh-clients-9.6p1-1.el7.x86_64.rpm

升级安装时需要注意 /etc/ssh 目录下sshd的配置

  1. 私钥文件的权限应设置为600,否则sshd会无法启动
  2. openssh7 的 rsa密钥 和 ecdsa密钥 已经不再有效了,可选删除
  3. 新的sshd_config被命名为sshd_config.rpmnew,可选备份并替换
cd /etc/ssh

chmod 600 *key

# 可选操作:删除 rsa密钥 和 ecdsa密钥
mkdir bak
mv ssh_host_ecdsa_key* bak/
mv ssh_host_rsa_key* bak/

# 可选操作:替换sshd_config
# 注意检查旧版本sshd_config的配置,如是否允许root登录
mv sshd_config sshd_config.openssh74
mv sshd_config.rpmnew sshd_config

各项配置检查妥当后,重启sshd

systemctl restart sshd.service

这里有几点经验

  1. 重启sshd服务后先不要关闭终端软件session,因为现有的连接是旧版sshd提供的。先开新的session测试ssh连接,能成功登录并成为root用户后再考虑关闭老的session,避免各种问题导致无法连接服务器
  2. 如果要升级生产环境,务必先在测试环境多测试,然后分期分批升级生产环境,否则会收获很惨痛的教训

总结

本次编译的rpm包可以在这里下载

另外需要关注:openssl 版本低于1.1.1导致 openssh 编译时自动加上 --without-openssl,使用sshd -V也显示without OpenSSL,下篇博客解决这个问题
在这里插入图片描述

世界坑同事大赛冠军
关注
专栏目录
史诗级详细离线更新centos系统的openssh升级到9.3p1!!
qq_43913213的博客
07-03 1万+
离线更新openssh步骤 文章目录 前言 一、openssh是什么? 二、更新步骤 1.查看相关组件版本是否存在(代码包已全部打包) 2.进行openssh离线更新 总结(安装时可能出现的问题等) 前言 对于可能很多人在离线更新openssh时都没找到一篇能解决实际问题的文章,那么今天它来了,请往下看。 提示:在进行生产环境操作时,需谨慎在尽可能一样的虚拟环境进行验证操作。(OS:如果不放心可以双保险,开启Telnet服务,具体步骤需自行搜索) 一、openssh是什么?   Op
CentOS 7 升级 OpenSSH 9.6 (优化rpm包)
xiangyong_的博客
09-08 1591
OpenSSH 9.6 依赖 OpenSSL 1.1.1w,批量部署要同时部署两个包,很麻烦。好在 OpenSSL 编译生成了静态库,OpenSSH 也支持静态编译 openssl,所以修改。首先,准备新的 sshd_config,把openssh源码包中的 sshd_config 解压出来,与现有配置做合并。宏定义时,在Makefile中指定使用 OpenSSL 1.1.1w 的静态库。所以需要rpm包判断是 全新安装 还是 升级安装,升级安装时把。都是按需配置,所以安装sshd时需要保留自定义配置。
Centos7升级OpenSSH版本至9.6p1
01-17
最近安全研究部门发现针对SSH有缺陷版本的水龟攻击,貌似9.6P1以下版本都会受到影响,与之相关的可利用漏洞标记有:CVE-2023-48795、CVE-2023-46445、CVE-2023-46446,今天趁着周末时间更新一个针对RPM系与DEB系Linux系统源码安装OpenSSHServer 9.6P1版本的教程,适用于CentOS、AlmaLinux、RockyLinux、Debian、Ubuntu等,原则上也适用于国内操作系统如:统信UOS、OpenEuler、麒麟、龙溪等操作系统SSH升级。 本文档针对centos7进行升级操作
centos7升级openssh9.6p1版本
kangxiaoche的博客
01-24 2503
因为安装依赖包比较费时间,一般使用yum安装,如果没有联网,最好找一台同样系统版本的进行下载,然后拷贝后安装,需要下载的依赖包如下:yum reinstall --downloadonly --downloaddir=/root/openssh/download wget gcc pam-devel libselinux-devel zlib-devel。卸载语句:rpm -e --nodeps `rpm -qa | grep openssh`,卸载后查看语句:rpm -qa openssh
统信UOS系统openssh8.2p1版本升级openssh9.6p1
最新发布
weixin_47191983的博客
10-09 305
统信UOS系统升级openssh版本详细步骤
CentOS7.9下openssh升级9.6实践
fang1990的博客
02-03 2524
运维实践过程中,经常遇到扫描出openssh漏洞问题,需要将openssh升级最新版本,当前openssh最新版本已经升级9.6。在新版本的openssh升级过程中与旧版本的升级存在一些差异,写下文章进行记录。由于openssh9.6需要openssl1.1.1版本支持,需要先对openssl进行升级后,才能继续进行openssh升级
Linux Centos7 升级最新版OpenSSH-9.6p1详细步骤(附脚本)
热门推荐
GaoSJiang的博客
12-21 1万+
最近公司系统在进行三级等保测评,其中有一项高危漏洞是Linux服务器的SSH版本太低存在安全风险,要求整改升级到最新版本,此篇文章记录SSH升级步骤和脚本。环境准备及软件下载相关步骤,请参考以上作者原文章,写的非常详细,这里只对一些优化和改进的地方进行记录。
CentOS 7 升级 OpenSSH 9.6 (使用OpenSSL)
xiangyong_的博客
09-07 1099
尝试把 OpenSSL-1.1.1w 静态编入 OpenSSH-9.6,以后不需要先安装OpenSSL依赖PAM问题修复sshd_config优化以后有时间再写。
CentOS 7(7.3及以上版本)系统的openssh升级9.6
mylove_0的博客
01-05 2169
(脚本已在测试环境上验证并升级过,可正常使用,但没有直接在生产环境上运行过,如果要上生产环境,需谨慎确认,必要时可修改脚本中的内容)
CentOS 7升级openssh9.6p1
lakeside1的博客
03-09 1612
CentOS7升级openssh9.6的详细实施步骤
CentOS 升级 openSSH
debang2014010的专栏
12-26 301
openSSH作为linux远程连接工具,容易受到攻击,必须更新版本来解决,低版本有如下等漏洞: a. OpenSSH 远程代码执行漏洞(CVE-2016-10009) b. OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) c. OpenSSH 远程代码执行漏洞(CVE-2016-10009) 升级前漏洞扫描和openSHH...
centos7 升级openssh9.6
01-18
在Linux系统管理中,OpenSSH是一个非常...通过以上步骤,你应该成功地在CentOS 7上将OpenSSH升级到了9.6版本。保持系统和软件的更新对于防止潜在的安全威胁至关重要,定期检查并应用安全补丁是良好运维习惯的一部分。
CentOS7离线升级openssl1.1.1w,openssh9.6p1,所需资源包
04-08
本主题涉及的是如何在没有网络连接的情况下,对CentOS7系统进行openssl和openssh的重要版本升级。以下是详细的知识点讲解: **CentOS7**: CentOS是Community ENTerprise Operating System的缩写,是一个基于Linux...
Centos升级OpenSSH9.6p1版本所需软件包
01-17
本教程将详细介绍如何在CentOS升级OpenSSH9.6p1版本,并涉及到的关键软件包——openssl和openssh。 首先,我们来了解OpenSSH 9.6p1版本的重要性。OpenSSH是一个开源项目,提供安全的网络服务,如远程登录、文件...
Linux Centos7 升级最新版OpenSSH-9.6p1 有脚本(支持离线)
01-03
在Linux系统中,OpenSSH是用于安全远程登录和网络服务的重要工具。CentOS 7作为一款广泛使用的Linux发行版,其内置的...遵循这些步骤,你将在CentOS 7上成功升级OpenSSH 9.6p1,从而提高系统的安全性和功能性。
CentOS7 升级 openssh
weixin_44295677的博客
05-22 1401
openssl 使用 1.1.1.w。3.3 备份并删除openssl目录。3.2 卸载当前openssl。openssh升级到9.7。zlib 使用 1.3.1。2.1 下载zlib安装包。4.9 启动sshd服务。3.10 检查当前版本。4.10 检查当前版本。2.3 创建工作目录。3.1 查看当前版本。3.6 创建工作目录。3.9 更新系统配置。4.1 查看当前版本。4.2 卸载当前版本。4.5 创建工作目录。4.8 修改配置文件。
CentOS升级openssh
qq_26057083的博客
03-24 3107
公司几台服务器扫出了几个openssh相关的漏洞,解决办法就是升级openssh版本。升级过程中踩坑较多,故作此博客记录。
Centos 7 升级Openssh7.4到9.2
zcfeng
06-05 2847
OPENSSH7.4升级OPENSSH9.2
centos7 升级openssh
Jietewang的博客
07-23 2053
前言 因为生产环境主机一直被通报存在openssh漏洞,报告显示小于某个版本存在很多的漏洞,没办法只能更新对应的版本,记录一下升级过程和一些坑点。已知的任何文档都有不可能完全解决我们即将面对的未知问题,所以建议多动手,多分析。建议在生产服务器操作时先使用同版本的系统到虚拟机上测试。整个过程会升级openssl和openssh,如果有人看到这篇文章并根据指导升级过程中出现问题,建议分开搜索相关升级流程。建议关闭防火墙和seLinux 1.版本对比 升级前旧版 升级后新版 2...
CentOS 7 制作openssh 9.6 rpm包更新修复安全漏洞 —— 筑梦之路
筑梦之路
12-21 5450
2023年12月18日 openssh 发布新版9.6p1,详细内容阅读。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值