centos 7 升级OpenSSH

liuian 2025-01-18 21:56 43 浏览

远程登录linux服务器的方式按照显示的不同可以分为文字接口和图形接口，文字显示有ssh和telnet，图形显示有VNC和Xdmcp。linux一直都是以命令行之美冠名，很多服务器都没有安装图形界面，远程登录都是用telnet和ssh。

telnet协议的端口号为23，它是Internet远程登陆服务的标准协议。telnet协议远程登录用户和密码都是明文很容易被攻击和篡改，协议本身还有很多漏洞。telent协议也被用于各种各样的入侵破坏活动。telnet协议的种种弊端导致几乎所有的linux发行版操作系统都用ssh登录，随着telnet登录方式退出历史舞台ssh登录方式大行其道。ssh许多标准，我们常用的是OpenSSH。

各大linux发行版都会集成OpenSSH用于我们登录，随着时间的推移OpenSSH会暴露出各种漏洞，漏洞会极大的威胁我们的操作系统安全，所以我们需要升级新版本的OpenSSH。下面我以centos7为例升级OpenSSH。

安装操作系统集成的OpenSSH版本如下图，版本比较老了漏洞非常多。我们把它升级到8.6。

安装包：openssh-8.6p1.tar.gz openssl-1.1.1g.tar.gz openssl-fips-2.0.16.tar.gz ，在我们开始升级前一定确保安装了gcc编辑器。为了避免升级失败出现问题连接不上服务器的问题我们要临时开启telnet登录方式，没错就是我们前文说的那个万恶的telnet登录方式。

telnet表示躺枪，我哪里万恶了。

闲话少说下面就开始升级。

1、开启telnet登录方式。

首先要检查我们的操作系统是否已经安装了telnet-server和xinetd。如果没有安装请安装，检查命令如下：rpm -qa telnet-server rpm -qa xinetd 。嘿嘿我已经提前安装好了。

如果没有安装就请安装下吧。

安装命令：yum install telnet-server，yum install xinetd 。安装完成后启动这两个服务，命令：systemctl start telnet.socket ，systemctl start xinetd 。然后将这两个服务加入开机自启动，命令：systemctl enable xinetd.service ，systemctl enable telnet.socket 。允许root远程登陆最简单的方法是：mv /etc/securetty /etc/securetty.bak ，还有修改配置文件方法能允许root远程登陆,太麻烦了。我们是拿人家telnet远程登陆当备胎，用完就卸磨杀驴没必要整那么麻烦，怎么简单怎么来。然后我们测试下是否可以用telnet远程登陆服务器。直接在windows下的cmd测试，telnet 192.168.202.128 23 (我的虚拟机ip是：192.168.202.128，23是telnet的端口号)。

到这里我们成功用telnet远程登陆了服务器。

2、检查当前版本openssl 和openssh

检查openssl，命令：openssl version -a ，版本如下图所示。

检查openssh，命令：ssh -V ，版本如下图所示。

3、安装openssl-fips-2.0.16

进入openssl-fips-2.0.16安装包所在的目录，我这里就放在了/home下了，解压openssl-fips-2.0.16.tar.gz ，命令： tar -zxvf openssl-fips-2.0.16.tar.gz ,解压完成后进入openssl-fips-2.0.16文件夹。

进入openssl-fips-2.0.16文件夹后配置config,执行：./config ,然后编译安装，执行make和make install ,执行过程中屏幕会刷很多日志，注意观察只要不报错就行。篇幅太长这里就不截图了。

4、安装openssl-1.1.1g.tar.gz

过程和上面差不多，进入openssl-1.1.1g.tar.gz安装包所在目录，我这里就放在了/home下。解压openssl-1.1.1g.tar.gz，命令： tar -zxvf openssl-1.1.1g.tar.gz ，解压完成后进入openssl-1.1.1g文件夹配置config,执行：./config ,然后编译安装，执行make和make install ,执行过程中屏幕会刷很多日志，注意观察只要不报错就行。篇幅太长这里就不截图了。

备份原有openssl的软连接，命令：mv /usr/bin/openssl /usr/bin/openssl-1.0.1e

mv /usr/lib64/openssl /usr/lib64/openssl1.0.1e

mv /usr/local/ssl /usr/local/ssl1.0.1e

mv /usr/bin/openssl /usr/bin/openssl-1.0.2k

mv /usr/lib64/openssl /usr/lib64/openssl-1.0.2k

mv /usr/local/ssl /usr/local/openssl-1.0.2k ,然后设置新的软连接，命令：

ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1.1g

ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1.1g

ln -s /usr/lib64/libssl.so.1.1.1g /usr/lib64/libssl.so

ln -s /usr/lib64/libcrypto.so.1.1.1g /usr/lib64/libcrypto.so

ldconfig -v

执行完这些命令后执行openssl version查看升级版本。从下图中可以看到升级成功了。

这个升级过程比centos6复杂很多，一定要小心千万别弄错了，我这里的方法仅供参考如有错误请指正谢谢。

5、升级ssh到8.6

解压openssh-8.6p1.tar.gz，命令：tar -zxvf openssh-8.6p1.tar.gz,进入到openssh-8.6p1目录下，执行命令：./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-ssl-dir=/usr/local/ssl --mandir=/usr/share/man --with-kerberos5=/usr/lib64/libkrb5.so

安装过程可能出这个错：zlib.h missing - please install first or check config.log **

这是缺少依赖包，安装依赖包即可，yum -y install zlib zlib-deve 。出现这个错误：configure error: PAM headers not found：这也是缺少依赖包了，安装依赖包即可，yum -y install pam-devel 。如果出现：auth.h:40:18: 致命错误：krb5.h：没有那个文件或目录，执行：yum install krb5-devel 就可以了。

然后执行make和make install。如果出现下面的错误，执行下面语句。

chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key

配置文件如下：

mv /etc/init.d/sshd /etc/init.d/sshd_old

cd /usr/local/src/ssh8.6/openssh-8.6p1/contrib/redhat/

cp sshd.init /etc/init.d/sshd

chmod u+x /etc/init.d/sshd

chkconfig --add sshd

chkconfig sshd on

mv /etc/ssh/ssh_config /etc/ssh/ssh_config_old

mv /etc/ssh/sshd_config /etc/ssh/sshd_config_old

cd /usr/local/src/ssh8.6/openssh-8.6p1