實戰redhat6.5離線升級openssl&openssh

記錄一次RedHat6.5升級openssl&openssh踩坑填坑。由於機房信息安全員用綠盟掃描出服務器openssh有8個重要的安全漏洞，最好的解決方式就是升級版本。

注意事項：

1. 先升級openssl,后升級openssh
2. 升級期間注意打開多個ssh窗口，以防斷開后不能連接。最好先安裝好telnet-server、xinetd、vsftpd 確保升級過程中ssh及ftp能正常連接及上傳文件
3. 確保gcc命令，zlib庫等都已經安裝。

    

踩坑填坑：

1. 由於這次是第一次向機房那邊申請的服務器，沒曾想gcc命令、zlib庫都是沒有的，需要我們自己在網上找合適版本的rpm包上傳安裝。
   1. 升級openssl第3步由於沒裝gcc命令導致執行報錯，后面收集到一份完整的gcc需要rpm包安裝后一路 “綠燈” openssl完美升級。
   2. 升級openssh第6步發現沒安裝zlib庫導致執行報錯，由於第2步、第3步由於吧ssh相關文件移動備份到新的文件夾，發現sftp連接不上了，不能上傳zlib庫的包...這里我利用了同一網段我的其他web應用服務器吧zlib升級需要的安裝包上傳上去了，在RedHat6.5用wget命令下載了web服務器上的更新包，安裝升級后也是一路 “綠燈” openssh完美升級。

 

升級包及rpm包下載地址：

• gcc：https://www.lanzous.com/i5uy81i
• zlib-1.2.11：https://files.cnblogs.com/files/fxcoding/zlib-1.2.11.tar.gz
• openssh-7.9p1：https://files.cnblogs.com/files/fxcoding/openssh-7.9p1.tar.gz
• openssl-1.0.2q：https://files.cnblogs.com/files/fxcoding/openssl-1.0.2q.tar.gz

　　

• Openssl升級

1. 解壓openssl-1.0.2q.tar.gz

   tar zxvf openssl-1.0.2q.tar.gz

2. 進入解壓的目錄

   cd openssl-1.0.2q

3. 配置Openssl（一定要確保已經安裝了gcc命令）

   ./config --prefix=/usr/local/openssl --shared

4. 編譯安裝

   make && make install

5. 查看/usr/local/openssl目錄是否生成文件

   # ls /usr/local/openssl
   
   bin  include  lib  ssl

6. 在/etc/ld.so.conf文件的最后面，添加如下內容

   vi /etc/ld.so.conf
   /usr/local/openssl/lib

7. 使ld.so.conf配置文件生效

   ldconfig

8. 添加OPESSL的環境變量

   在/etc目錄下的profile文件的最后一行，添加:

   vi /etc/profile
   
   export OPENSSL=/usr/local/openssl/bin export PATH=$OPENSSL:$PATH:$HOME/bin

9. 使環境生效

   source /etc/profile

10. 查看openssl版本號（確保版本號為剛剛升級的版本）

    # openssl version
    
    OpenSSL 1.0.2q  20 Nov 2018

    到此openssl已經完成升級。博主在升級openssl時由於機房給的純凈的RedHat系統gcc環境沒有，所以第三步報錯了，博主整理好了gcc環境需要的rpm包，進入gcc目錄執行./install-gcc.sh命令，安裝完成后查看gcc版本命令：gcc -v

---

 

• OpenSSH升級

1. 創建配置文件備份目錄

   mkdir /etc/sshbak

2. 備份原來的ssh配置文件

   mv /etc/ssh/* /etc/sshbak

3. 備份原來的ssh啟用腳本

   mv /etc/init.d/sshd /etc/init.d/sshdbak

4. 解壓openssh-7.9p1.tar.gz

   # tar -zxvf openssh-7.9p1.tar.gz

5. 進入解壓目錄

   cd openssh-7.9p1

6. 配置openssh

   ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl

7. 編譯安裝

   make && make install

8. 復制啟動腳本到/etc/init.d

   cp -a contrib/redhat/sshd.init /etc/init.d/sshd

9. 查看/etc/ssh目錄下是否存在配置文件

   # ls /etc/ssh
   
   moduli      sshd_config       ssh_host_dsa_key.pub  ssh_host_ecdsa_key.pub  ssh_host_ed25519_key.pub  ssh_host_rsa_key.pub
   
   ssh_config  ssh_host_dsa_key  ssh_host_ecdsa_key    ssh_host_ed25519_key    ssh_host_rsa_key

10. 開啟允許root管理員登錄

    修改配置文件:

    vi /etc/ssh/sshd_config
    
    找到#PermitRootLogin prohibit-password 在下面一行添加PermitRootLogin yes PermitRootLogin yes

11. 重啟sshd服務

    service sshd restart

12. 查看ssh版本（確保版本為升級的版本）

    # ssh -V
    
    OpenSSH_7.9p1, OpenSSL 1.0.2q  20 Nov 2018

    博主第6步執行報錯，由於沒有zlib庫，需要先安裝。安裝后續操作也是一路順暢、到此openssh也完美離線升級，記錄一下希望可以幫到有需要的人（由於我這邊網絡安全限制機房不能連接外網，離線環境安裝是真的麻煩）升級需要的rpm包我都已上傳到博客。