Centos7.6升级OpenSSH9.8p1

于 2024-07-23 02:27:45 发布
阅读量616 收藏 12
点赞数 13
文章标签: 服务器 运维 centos linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjw529507929/article/details/140610859
版权

目录

简介

升级过程

常见问题

简介

       OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。

        目前有一台服务器使用了OpenSSH 7.4p1,但该版本的OpenSSH存在OpenSSH代码问题漏洞(CVE-2023-38408)。 OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。

        由于OpenSSH9.8p1要求OpenSSL1.1.1v以上,所以把OpenSSL一并升级。

升级过程

一、下载OpenSSH和OpenSSL对应的版本:

OpenSSH下载路径:

1、OpenBSD提供的多语言下载路径:OpenSSH: Portable Release

2、国内阿里云的下载路径:pub-OpenBSD-OpenSSH-portable安装包下载_开源镜像站-阿里云 (aliyun.com)

OpenSSL下载路径:

1、OpenSSL 1.1.1v:Release OpenSSL 1.1.1v · openssl/openssl · GitHub

2、OpenSSL 3.3.1v:Release OpenSSL 3.3.1 · openssl/openssl · GitHub

 配合OpenSSH 9.8p1的安装只需要升级到OpenSSL 1.1.1v就可以了。

1.1 下载到Linux当中

下载OpenSSH9.8p1到当前目录下
> wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

下载OpenSSL 1.1.1v到当前目录下
> wget https://github.com/openssl/openssl/releases/download/OpenSSL_1_1_1v/openssl-1.1.1v.tar.gz

二、安装前对系统环境的检查

 2.1 安装前的检查

系统版本检查
> cat /etc/redhat-release
OpenSSL版本检查
> openssl version
OpenSSH版本检查
> ssh -V

2.2 安装依赖包

建议都安装一遍防止遗漏,影响后续的编译
> yum -y install gcc pam-devel zlib-devel openssl-devel net-tools

三、安装OpenSSL 1.1.1v

3.1 解压已经下载好的openssl-1.1.1v.tar.gz

将/home/openssl-1.1.1v.tar.gz解压到/home目录下
> tar -zxvf /home/openssl-1.1.1v.tar.gz -C /home/

查看解压后当前目录的情况
> ll /home | grep openssl

进入解压文件的目录
> cd /home/openssl-1.1.1v

3.2 安装配置和编译

查看已安装的OpenSSL版本
> openssl version

配置编译
> ./config --prefix=/opt/openssl # --prefix选项配置安装目录

编译和安装
> make&&make install

# 配置编译、编译和安装要没有error报错才代表成功安装,才可以继续下一步

3.3 更新lib文件

检查所需要的函数库
> ldd /opt/openssl/bin/openssl

添加新装的OpenSSL的库文件路径到ld.so.conf
> echo "/opt/openssl/lib" >> /etc/ld.so.conf

更新系统函数库
> ldconfig --verbose

3.4 更新bin文件

查询命令所在目录
> which openssl
    /usr/bin/openssl # 这是命令文件所在的路径

备份OpenSSL命令原文件
> mv /usr/bin/openssl /usr/bin/openssl.bak

创建软连接 # 以后版本升级只需要安装在/opt/openssl就会自动更新命令文件了
> ln -s /opt/openssl/bin/openssl /usr/bin/openssl

查看现在的OpenSSL版本
> openssl version

四、安装OpenSSH 9.8p1

4.1 解压已经下载好的openssh-9.8p1.tar.gz

将/home/openssh-9.8p1.tar.gz解压到/home目录下
> tar -zxvf /home/openssl-1.1.1v.tar.gz -C /home/

查看解压后当前目录的情况
> ll /home | grep openssh

进入解压文件的目录
> cd /home/openssh-9.8p1

使用for循环,卸载openssh
> for i in $(rpm -qa | grep openssh);do rpm -e $i --nodeps;done

4.2  安装配置和编译

配置编译
> ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/opt/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening
# --prefix选项配置安装目录 --sysconfdir选项配置文件路径 --with-ssl-dir选项openssl的安装路径

编译和安装
> make&&make install

# 配置编译、编译和安装要没有error报错才代表成功安装,才可以继续下一步

4.3  sshd.init脚本的修改

从源码目录下复制sshd.init到/etc/init.d/
> cp /home/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/
 
# sshd.init脚本默认的sshd路径为/usr/sbin/sshd,如果编译配置时选择的是这个路径就无需下面的操作
更新sshd安装路径(也可以用vim找到对应的文件进行修改)
> cat -n /etc/init.d/sshd.init | grep SSHD
> sed -i "s/SSHD=\/usr\/sbin\/sshd/SSHD=\/usr\/local\/openssh\/sbin\/sshd/g" /etc/init.d/sshd.init # vim /etc/init.d/sshd.init 打开后修改对应行

# sshd.init脚本默认的ssh-keygen路径为/usr/bin/ssh-keygen,如果编译配置时选择的是这个路径就无需下面的操作
更新ssh-keygen安装路径
> cat -n /etc/init.d/sshd.init | grep ssh-keygen
> sed -i "s#/usr/bin/ssh-keygen -A#/usr/local/openssh/bin/ssh-keygen -A#g" /etc/init.d/sshd.init

4.4 修改配置文件

开启允许X11转发和密码验证
> echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
> echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config

 4.5 启动服务和设置开机启动

复制新安装的openssh相关命令到系统目录
> cp -arp /usr/local/openssh/bin/* /usr/bin/

启动服务
> /etc/init.d/sshd.init

查看sshd版本验证是否启动成功
> ssh -V

添加开机启动
> chmod +x /etc/rc.d/rc.local
> echo “/etc/init.d/sshd.init start” >> /etc/rc.d/rc.local

常见问题

systemctl无法管理sshd

重新安装openssh-server即可
> yum -y install openssh-server

如果有报错使用该命令查看具体异常原因
> tail -f /var/log/messages
> tail -f /var/log/secure

selinux拦截导致SSH服务器拒绝密码登录

> setenforce 0

 ssh_host_dsa_key生成失败

通常该状况都会在安装时提示error(ignore),这个时候我们应该继续安装,在安装完成后在配置文件中修改为rsa即可
> echo "HostKey /etc/ssh/ssh_host_rsa_key" >> /etc/ssh/sshd_config

JovaZou
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
记一次centos7.6制作openssh8.9p1的rpm包并升级安装
winc的博客
03-01 978
下载源码及依赖 wget -c https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.9p1.tar.gz 如果想查找其他版本,可以去Index of /pub/OpenBSD/OpenSSH/portable/查找。 wget -c https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f7eaa8543a24
centos7openssh9.8p1rpm包
07-03
centos7openssh9.8p1rpm包,已经集成所需的所有依赖,直接安装即可。 安装命令(解压进入文件夹后) tar -zxvf centos7_openssh-9.8.tar cd centos7_openssh-9.8 rpm -Uvh --force --nodeps *.rpm ssh-keygen -A ...
centos7升级openssh9.8
suiyupiaomiao的博客
07-02 3353
centos7升级openssh9.8p1
OpenSSH9.8快速升级CentOS7使用脚本一键快速升级openssh9.8,连接无中断
abc15138565332的博客
07-03 2440
【代码】OpenSSH9.8快速升级CentOS7使用脚本一键快速升级openssh9.8,连接无中断,快速修复(CVE-2024-6387)高危漏洞。
centos ssh一键升级9.8版本脚本
qq_38125626的博客
07-05 807
生成一个适合你的列表 项目 项目 项目 项目1 项目2 项目3 计划任务 完成任务 创建一个表格 一个简单的表格是这么创建的:使用居中 使用居左 使用居右SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:一个具有注脚的文本。1Markdown将文本转换为 HTML。您可以使用渲染LaTeX数学表达式 KaTeX:Gamma公式展示 Γ(n)=(n−1)!∀n∈N\Gamma(n) = (n-1)!\quad\forall n\in\mathbb
Linux运维总结:Centos7.6之OpenSSH7.4升级版本至9.8
东城绝神
07-02 792
Linux运维总结:Centos7.6之OpenSSH7.4升级版本至9.8
OpenSSH离线升级 漏洞CVE-2021-41617 & CVE-2020-15778,CentOs7.6升级openssh-8.8p1 & openssl-1.1.1m
08-08 693
2、检查--with-ssl-dir=/usr/local/ssl命令,将之改为--with-ssl-dir=/usr/local。我们在离线安装或升级openssl时可能会遇见标题的问题,下述办法只做尝试,根据不通的操作系统可能解决办法并不一定起作用。1、重新在执行./config编译openssl时在命令最后面添加--shared。启动不起来 可以使用/etc/init.d/sshd restart重启即可。可以现在外网下载好以下安装包。我是通过方法2解决的。
CentOS7 升级 opensshopenssh-8.0p1版本
涛子GE哥的博客
09-18 1701
centos7.3和centos7.6升级完毕测试登录ssh以及重启后登录ssh均无问题。 前期请自行配置好yum源(如果不会请百度) 整个过程不需要卸载原先的openssl包和openssh的rpm包。不影响我们的操作 本文的环境都是系统自带的openssh,没有经历过手动编译安装方式。如果之前有手动编译安装过openssh,请参照本文自行测试是否能成功。 如果严格参照本文操作,我保证你升级没问...
Centos 升级 OpenSSH 到 9.0
自动化小白踩坑记录
05-16 2197
近日有安全提示:OpenSSH XMSS Key 解析整数溢出漏洞。 XMSS中使用的签名方案是有状态的,这意味着密钥随时间而变化,此过程需要考虑以前保存的“状态”(如果有)。负责处理XMSS保存的“状态”的函数会由于整数溢出漏洞而导致内存破坏。任何可以解析私有XMSS密钥的OpenSSH函数都容易受到攻击。 披露时间:2019-10-09 00:00:00 CVE编号:CVE-2019-16905 修复方案 升级OpenSSH至8.1及以上版本 需确认机器已安装的软件包中不存在低版本openss
Linux服务器漏洞修复—OpenSSH升级9.8CentOS 7.6)
最新发布
孔融送你一个梨的博客
07-21 918
3:运行 sudo /usr/sbin/sshd -t -f /etc/ssh/sshd_config 检查配置是否正确,如果没有错误提示,就可以正常启动 SSH 服务了。建议安装,如果你升级到一半,VPN突然掉了,或者网络断开,你就连不上xshell了,如果安装了telnet后,就是网络和VPN断开,也可以进行下一步操作。注意: 需要先安装xinetd,然后安装telnet客户端,再安装telnet服务端,不然可能会报错。为了避免在生产上安装openSSH失败,安装telnet。关闭telnet服务。
centos7系列 openssh9.8p1 rpm安装包
07-02
openssh-9.8p1-3.el7.x86_64.rpm openssh-clients-9.8p1-3.el7.x86_64.rpm openssh-server-9.8p1-3.el7.x86_64.rpm openssh-debuginfo-9.8p1-3.el7.x86_64.rpm 更新使用脚本: #卸载当前系统openssh相关内容 rpm -e ...
centos6的openssh9.8p1rpm包
07-03
centos6的openssh9.8p1rpm包 解压后执行install.sh自动完成安装,以集成所有用到的依赖
CentOS7 升级 openssh9.8p1 rpm安装包
07-03
CentOS7 升级 openssh9.8p1,包含openssh-9.8p1-1.el7.x86_64.rpm openssh-clients-9.8p1-1.el7.x86_64.rpm openssh-server-9.8p1-1.el7.x86_64.rpm 文件 。 安装重启SSHD服务前,修改 /etc/ssh/ssh_host_ed25519_...
CentOS7升级OPENSSH至8.9P1
04-25
本文将详细讲解如何在`CentOS7`系统中将`OpenSSH`升级到8.9P1版本,这是一个重要的安全更新,无需进行复杂的编译过程。 首先,我们理解`OpenSSH`是开放源代码的实现,它提供了一个安全的网络通信协议,用于替代不...
克隆的TrinityCore服务器网速慢卡顿问题的解决(未解决)
skywalk8163的专栏
07-19 1055
这台服务器的问题就是特别卡,网络延时在700ms左右,而且经常出现更大的延时,出现卡顿现象。但是在命令行ping该服务器却很快,用ssh传输文件也很快,所以最终怀疑是不是因为不是本地编译而导致延时大的。关键是局域网的时候,延时也是几百....准备本机编译,看看是否能解决。
实战项目:仿muduo库实现并发服务器
感谢观看
07-19 927
muduo是陈硕大神在Linux平台下基于C/C++开发的高性能网络库,在此基础上可以很方便的扩展,进行二次开发编写如http服务器。muduo网络库的核心框架,one thread per thread + Reactor模式。这也是大多数Linux端高性能网络编程框架应用的主要架构。 本篇文章,对该框架进行了较为详细讲解。
基于Centos7搭建rsyslog服务器
m0_64940629的博客
07-20 321
(2)在日志服务器端启动tcp与udp服务(192.168.134.155)==该服务器命名为test2,同样重启。(1)修改rsyslog的配置文件并重启。5、基础测试(登入数据库,执行如下命令)1、安装数据库及插件,并配置数据库。二、配置基于mysql存储日志信息。1、安装loganalyzer软件。一、配置rsyslog可接收日志。1、准备新的Centos7环境。4、修改rsyslog配置文件。3、配置简易的客户端与服务端。3、退出数据库,修改配置文件。2、指定用户,赋予权限。2、部署lnmp环境。
Linux-交换空间(Swap)管理
2301_80059615的博客
07-18 928
冷热数据、磁盘/分区、设置交换空间、关闭交换空间
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JovaZou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值