這個文章是轉載,原文連接在這個:https://www.cnblogs.com/xshrim/p/6472679.html
這個問題遇到過,下面可以解決
---------------------------------------------------------------------------------------------
導語
Redhat企業級系統的6.9版自帶SSH版本為OpenSSH_8.6p1, 基於審計和安全性需求,建議將其升級到最新的OpenSSH版本,當前官網最新版本為8.6p1. 本文檔將詳細介紹OpenSSH升級的完整步驟。需要說明的是,升級過程中雖然涉及zlib、openssl和openssh的卸載,但是並不會導致當前的ssh遠程連接會話斷開,因此是可以將整個升級過程寫成自動化腳本以進行自動批量部署的。
步驟
1、准備工作
1.1、下載相關軟件包
OpenSSH需要依賴ZLIB和OpenSSL,因此需要從官網下載三者的源碼包。 三者源碼下載地址:
http://www.zlib.net/ http://www.openssl.org/ http://www.openssh.org/
1.2、查看系統當前軟件版本
# rpm -q zlib # openssl version # ssh -V
1.3、配置本地yum源
因安裝相關工具和編譯源碼需要先安裝部分軟件包,因此需要先配置好本地yum源(如有遠程yum源更好),配置方法如下:
A、將操作系統鏡像上傳到服務器中,進行掛載
# mount -o loop rhel-server-6.7-x86_64-dvd.iso /mnt #此處掛載目錄可自行指定
B、配置yum源文件
# cd /etc/yum.repos.d # rm -rf * #刪除當前所有yum源文件 # vi rhel6.9.repo # cat rhel6.9repo #向新建的yum源文件中加入如下內容 [Server] name=RHELServer baseurl=file:///mnt/Server enabled=1 gpgcheck=0 [ResilientStorage] name=RHELResilientStorage baseurl=file:///mnt/ResilientStorage enabled=1 gpgcheck=0 [ScalableFileSystem] name=RHELScalableFileSystem baseurl=file:///mnt/ScalableFileSystem enabled=1 gpgcheck=0 [HighAvailability] name=RHELHighAvailability baseurl=file:///mnt/HighAvailability enabled=1 gpgcheck=0 [LoadBalancer] name=RHELLoadBalancer baseurl=file:///mnt/LoadBalancer enabled=1 gpgcheck=0
# yum clean all #清除yum緩存,使當前配置生效
# yum list #查看是否配置成功
1.4、安裝telnet服務並啟用
因升級OpenSSH過程中需要卸載現有OpenSSH, 因此為了保持服務器的遠程連接可用,需要啟用telnet服務作為替代,如升級出現問題,也可通過telnet登錄服務器進行回退。
A、安裝telnet服務
# yum -y install telnet-server*
B、啟用telnet
# vi /etc/xinetd.d/telnet 將其中disable字段的yes改為no以啟用telnet服務 # mv /etc/securetty /etc/securetty.old #允許root用戶通過telnet登錄 # service xinetd start #啟動telnet服務 # chkconfig xinetd on #使telnet服務開機啟動,避免升級過程中服務器意外重啟后無法遠程登錄系統
# telnet [ip] #新開啟一個遠程終端以telnet登錄驗證是否成功啟用
1.5、安裝編譯所需工具包
# yum -y install gcc pam-devel zlib-devel
2、正式升級
2.1、升級ZLIB
A、解壓zlib_1.2.11源碼並編譯
# tar -zxvf zlib-1.2.11.tar.gz # cd zlib-1.2.11 # ./configure --prefix=/usr # make
B、卸載當前zlib
注意:此步驟必須在步驟A執行完畢后再執行,否則先卸載zlib后,/lib64/目錄下的zlib相關庫文件會被刪除,步驟A編譯zlib會失敗。(補救措施:從其他相同系統的服務器上復制/lib64、/usr/lib和/usr/lib64目錄下的libcrypto.so.10、libssl.so.10、libz.so.1、libz.so.1.2.3四個文件到相應目錄即可。可通過whereis、locate或find命令找到這些文件的位置)
# rpm -e --nodeps zlib
C、安裝之前編譯好的zlib
# 在zlib編譯目錄執行如下命令
# make install
D、共享庫注冊
zlib安裝完成后,會在/usr/lib目錄中生產zlib相關庫文件,需要將這些共享庫文件注冊到系統中。
# echo '/usr/lib' >> /etc/ld.so.conf # ldconfig #更新共享庫cache
或者采用如下方式也可:
# ln -s /usr/lib/libz.so.1 libz.so.1.2.11 # ln -s /usr/lib/libz.so libz.so.1.2.11 # ln -s /usr/lib/libz.so.1 /lib/libz.so.1 # ldconfig
可通過yum list命令驗證是否更新成功(更新失敗yum不可用),另外redhat和centos的5.*版本不支持高於1.2.3的zlib版本。
2.2、升級OpenSSL
官方升級文檔:http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/openssl.html
A、備份當前openssl
# find / -name openssl /usr/lib64/openssl /usr/bin/openssl /etc/pki/ca-trust/extracted/openssl # mv /usr/lib64/openssl /usr/lib64/openssl.old # mv /usr/bin/openssl /usr/bin/openssl.old # mv /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old
B、卸載當前openssl
# rpm -qa | grep openssl openssl-1.0.1e-42.el6.x86_64 # rpm -e --nodeps openssl-1.0.1e-42.el6.x86_64 # rpm -qa | grep openssl
或者直接執行此命令:rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}
C、解壓openssl_1.0.2k源碼並編譯安裝
# tar -zxvf openssl-1.0.2k.tar.gz # cd openssl-1.0.2k # ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #必須加上--shared,否則編譯時會找不到新安裝的openssl的庫而報錯 # make # make test #必須執行這一步結果為pass才能繼續,否則即使安裝完成,ssh也無法使用 # make install # openssl version -a #查看是否升級成功
2.3、升級OpenSSH
官方升級文檔:http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html
A、備份當前openssh
# mv /etc/ssh /etc/ssh.old
B、卸載當前openssh
# rpm -qa | grep openssh openssh-clients-5.3p1-111.el6.x86_64 openssh-server-5.3p1-111.el6.x86_64 openssh-5.3p1-111.el6.x86_64 openssh-askpass-5.3p1-111.el6.x86_64 # rpm -e --nodeps openssh-5.3p1-111.el6.x86_64 # rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64 # rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64 # rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64 # rpm -qa | grep openssh
或者直接執行此命令:rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}
C、openssh安裝前環境配置
# install -v -m700 -d /var/lib/sshd # chown -v root:sys /var/lib/sshd # groupadd -g 50 sshd # useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd
D、解壓openssh_8.6p1源碼並編譯安裝
# tar -zxvf openssh-7.4p1.tar.gz # cd openssh-7.4p1 # ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd # make # make install
E、openssh安裝后環境配置
# 在openssh編譯目錄執行如下命令
# install -v -m755 contrib/ssh-copy-id /usr/bin # install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1 # install -v -m755 -d /usr/share/doc/openssh-8.6p1 # install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-8.6p1
# ssh -V #驗證是否升級成功
F、啟用OpenSSH服務
# 在openssh編譯目錄執行如下目錄
# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config # echo "PermitRootLogin yes" >> /etc/ssh/sshd_config #允許root用戶通過ssh登錄 # cp -p contrib/redhat/sshd.init /etc/init.d/sshd # chmod +x /etc/init.d/sshd # chkconfig --add sshd # chkconfig sshd on # chkconfig --list sshd # service sshd restart
注意:如果升級操作一直是在ssh遠程會話中進行的,上述sshd服務重啟命令可能導致會話斷開並無法使用ssh再行登入(即ssh未能成功重啟),此時需要通過telnet登入再執行sshd服務重啟命令。
3、善后工作
新開啟遠程終端以ssh [ip]登錄系統,確認一切正常升級成功后,只需關閉telnet服務以保證系統安全性即可。
# mv /etc/securetty.old /etc/securetty # chkconfig xinetd off # service xinetd stop
如需還原之前的ssh配置信息,可直接刪除升級后的配置信息,恢復備份。
# rm -rf /etc/ssh # mv /etc/ssh.old /etc/ssh
#或者可以一直使用 yum -y install openssh* ,安裝完成后重啟sshd即可