OpenSSH离线升级-亲测整理

openssh升级

原来公司有一个项目,因为客户的服务器系统上openssh版本低,扫描有漏洞,需要做openssh升级,因此在网上查了很多升级openssh的资料,实践的时候踩过很多的坑,但是最后还是升级成功了,这里整理记录一下升级的过程,以免大家重复踩同样的坑。

以前我发布在了百度经验上面,现在重新录入在简书里面。

系统:CentOS7

需要准备的包(准备这些rpm包,是因为我要升级的服务器无法联网)


openssl-1.0.2o.tar.gz

openssh-7.7p1.tar.gz

pam-1.1.8-22.el7.x86_64.rpm

pam-devel-1.1.8-22.el7.x86_64.rpm

zlib-1.2.7-17.el7.x86_64.rpm

zlib-devel-1.2.7-17.el7.x86_64.rpm

telnet-0.17-64.el7.x86_64.rpm

telnet-server-0.17-64.el7.x86_64.rpm

openssl-1.0.2k-12.el7.x86_64.rpm


之所以需要低版本的openssl,是因为如果在后面卸载openssl后,无法继续操作的话,再次安装openssl,不至于造成系统无法使用。

这些包可以自己搜索一下去下载,也可以通过yumdownload来下载。(yumdownload 是安装yum-utils后可以使用)

例如下载pam,可以执行:

#yumdownload pam

下载pam包

升级openssh,先要开启telnet,确保telnet可以正常登陆。这样当openssh升级出现问题的时候,还可以通过telnet登录到服务器操作。

安装依赖包

pam,pam-devel,xinted,zlib,zlib-devel,telnet,telnet-server

安装pam

先查看是否有pam已经安装

#rpm  -qa |grep pam

检查系统是否安装了pam

服务器上面有pam的包。

采用rpm -U升级安装,免得rpm -e  --nodeps卸载包出现问题。(而且真有可能出现问题,尤其是zlib包)

#rpm  -Uvh  pam-1.1.8-22.el7.x86_64.rpm

#rpm -Uvh  pam-devel-1.1.8-22.el7.x86_64.rpm

pam升级

安装xinted

#rpm  -Uvh  xinetd-2.3.15-13.el7.x86_64.rpm

xinted升级

安装zlib

#rpm  -Uvh  zlib-1.2.7-17.el7.x86_64.rpm

#rpm  -Uvh  zlib-devel-1.2.7-17.el7.x86_64.rpm


zlib升级

安装telnet

#rpm  -Uvh  telnet-0.17-64.el7.x86_64.rpm

#rpm  -Uvh  telnet-server-0.17-64.el7.x86_64.rpm


telnet安装

开启xinetd

#systemctl  start  xinetd

查看状态

#systemctl  status  xinetd

#systemctl  enable  xinetd


开始xinetd

启动telnet

# systemctl start telnet.socket

# systemctl status telnet.socket

# systemctl enable telnet.socket

启动telnet

默认情况下,telnet是不允许root登录的。

执行命令:

# echo "pts/0" >> /etc/securetty

# echo "pts/1" >> /etc/securetty


关闭selinux

#vi /etc/selinux/config

如下图将selinux设置为disable

关闭selinux

关闭防火墙

# systemctl stop  iptables

编辑pam配置文件,以便telnet允许root登录。

# vi /etc/pam.d/login

如图注释这一行

修改pam配置

编辑配置文件:

#vi  /etc/pam.d/remote

如图注释这一行

auth      required    pam_securetty.so

修改pam配置

重启xinetd,telnet服务

#systemctl  restart  xinetd

#systemctl  restart  telnet.socket

然后从其他服务器利用telnet测试登录(当然另外一台服务器上已经安装了telnet)

#telnet  ip

输入账号密码,登录成功。

telnet可以登录,实际上是开了另外一条可以登录服务器的通道,以免ssh升级出错,造成无法登录服务器。

如图,我要升级的服务器ip地址是10.0.30.100,从另外一台机器上telnet登录到30.100

telnet登录


升级OpenSSL

先确保你的服务器上已经有gcc,gcc-c++。这两个是编译工具。

#rpm  -qa  |grep  gcc

若没有安装,则执行安装,这里我已经下载了gcc,gcc-c++的包。

如果你的服务器联网,可以执行:

#yum  install  gcc  gcc-c++

如果没有联网,就提前下载rpm包,可以采取上面yumdownload方法从联网服务器上下载。(也可以采用yum安装,然后将yum的cache打开,这样在安装的时候就会保存下来下载的所有的依赖包)

建议yum安装,否则你将要下载很多依赖包。

依赖包

上图,是为了安装gcc,gcc-c++,下载的所有依赖包。

因为一开始安装的时候,会返回下图依赖错误。

然后根据依赖错误,下载了所有的依赖包。

安装错误

如下图这样,相互依赖的。安装这个,返回依赖错误(已安装的版本不一致造成),安装那个就返回这个依赖错误。

错误依赖

这样的,直接rpm -Uvh 后面跟这两个安装包的名字。

rpm -Uvh glibc-common*.rpm glibc-2.17*.rpm

安装glibc

卸载旧的openssl包。

#rpm  -qa  |grep openssl

查看已安装的openssl

解压openssl安装包

#tar  -xvf  openssl-1.0.2o.tar.gz

卸载这些包。

#for  i  in  $(rpm  -qa |grep  openssl);do  rpm  -e  $i --nodeps  ;done

进入openssl-1.0.2o目录

#cd  openssl-1.0.2o

执行:

#./config  shared

安装openssl-1

执行安装

#make  &&  make  install

安装openssl-2

安装完毕。

执行命令:

#echo "/usr/local/ssl/lib" >> /etc/ld.so.conf

#ldconfig

配置ssl库

#cp /usr/local/ssl/lib/libssl.so.1.0.0  /usr/lib64

#cp /usr/local/ssl/lib/libcrypto.so.1.0.0  /usr/lib64

#ln -s /usr/lib64/libcrypto.so.1.0.0  /usr/lib64/libcrypto.so.10

#ln -s /usr/lib64/libcrypto.so.1.0.0  /usr/lib64/libcrypto.so

#ln -s /usr/lib64/libssl.so.1.0.0  /usr/lib64/libssl.so.10

#ln -s /usr/lib64/libssl.so.1.0.0  /usr/lib64/libssl.so

#ln -s /usr/local/ssl/bin/openssl  /usr/bin/openssl

#ln -s /usr/local/ssl/include/openssl  /usr/include/openssl

查看openssl版本

#openssl  version  -a

升级成功

安装openssl-3


升级OpenSSH

解压openssh安装包

#tar  xvf  openssh-7.7p1.tar.gz

#cd  openssh-7.7p1

卸载原openssh

#rpm  -qa |grep  openssh


查看已安装的openssh

卸载

#for  i  in  $(rpm  -qa  |grep  openssh);do  rpm  -e  $i  --nodeps ;done

执行:

#./configure --prefix=/usr  --sysconfdir=/etc/ssh --with-md5-passwords  --with-pam  --with-tcp-wrappers  --with-ssl-dir=/usr/local/ssl    --without-hardening


安装openssh-1

删除原ssh配置目录

#rm  -rf  /etc/ssh

安装

#make  &&  make  install

安装openssh-2

安装完成,执行配置

#cp  ./contrib/redhat/sshd.init    /etc/init.d/sshd

#chkconfig --add sshd

#chkconfig sshd on

#chkconfig --list|grep sshd

查看sshd服务状态

查看版本

#ssh  -V

查看ssh版本

执行命令(这一步也很重要):

#sed -i "32 aPermitRootLogin yes" /etc/ssh/sshd_config

#service  sshd  restart

升级完成。

从其他服务器ssh登录升级的服务器,登录成功!

注意:不要轻易卸载zlib软件

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 202,529评论 5 475
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,015评论 2 379
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,409评论 0 335
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,385评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,387评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,466评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,880评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,528评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,727评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,528评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,602评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,302评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,873评论 3 306
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,890评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,132评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,777评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,310评论 2 342

推荐阅读更多精彩内容