原来公司有一个项目,因为客户的服务器系统上openssh版本低,扫描有漏洞,需要做openssh升级,因此在网上查了很多升级openssh的资料,实践的时候踩过很多的坑,但是最后还是升级成功了,这里整理记录一下升级的过程,以免大家重复踩同样的坑。
以前我发布在了百度经验上面,现在重新录入在简书里面。
系统:CentOS7
需要准备的包(准备这些rpm包,是因为我要升级的服务器无法联网)
openssl-1.0.2o.tar.gz
openssh-7.7p1.tar.gz
pam-1.1.8-22.el7.x86_64.rpm
pam-devel-1.1.8-22.el7.x86_64.rpm
zlib-1.2.7-17.el7.x86_64.rpm
zlib-devel-1.2.7-17.el7.x86_64.rpm
telnet-0.17-64.el7.x86_64.rpm
telnet-server-0.17-64.el7.x86_64.rpm
openssl-1.0.2k-12.el7.x86_64.rpm
之所以需要低版本的openssl,是因为如果在后面卸载openssl后,无法继续操作的话,再次安装openssl,不至于造成系统无法使用。
这些包可以自己搜索一下去下载,也可以通过yumdownload来下载。(yumdownload 是安装yum-utils后可以使用)
例如下载pam,可以执行:
#yumdownload pam
升级openssh,先要开启telnet,确保telnet可以正常登陆。这样当openssh升级出现问题的时候,还可以通过telnet登录到服务器操作。
安装依赖包
pam,pam-devel,xinted,zlib,zlib-devel,telnet,telnet-server
安装pam
先查看是否有pam已经安装
#rpm -qa |grep pam
服务器上面有pam的包。
采用rpm -U升级安装,免得rpm -e --nodeps卸载包出现问题。(而且真有可能出现问题,尤其是zlib包)
#rpm -Uvh pam-1.1.8-22.el7.x86_64.rpm
#rpm -Uvh pam-devel-1.1.8-22.el7.x86_64.rpm
安装xinted
#rpm -Uvh xinetd-2.3.15-13.el7.x86_64.rpm
安装zlib
#rpm -Uvh zlib-1.2.7-17.el7.x86_64.rpm
#rpm -Uvh zlib-devel-1.2.7-17.el7.x86_64.rpm
安装telnet
#rpm -Uvh telnet-0.17-64.el7.x86_64.rpm
#rpm -Uvh telnet-server-0.17-64.el7.x86_64.rpm
开启xinetd
#systemctl start xinetd
查看状态
#systemctl status xinetd
#systemctl enable xinetd
启动telnet
# systemctl start telnet.socket
# systemctl status telnet.socket
# systemctl enable telnet.socket
默认情况下,telnet是不允许root登录的。
执行命令:
# echo "pts/0" >> /etc/securetty
# echo "pts/1" >> /etc/securetty
关闭selinux
#vi /etc/selinux/config
如下图将selinux设置为disable
关闭防火墙
# systemctl stop iptables
编辑pam配置文件,以便telnet允许root登录。
# vi /etc/pam.d/login
如图注释这一行
编辑配置文件:
#vi /etc/pam.d/remote
如图注释这一行
auth required pam_securetty.so
重启xinetd,telnet服务
#systemctl restart xinetd
#systemctl restart telnet.socket
然后从其他服务器利用telnet测试登录(当然另外一台服务器上已经安装了telnet)
#telnet ip
输入账号密码,登录成功。
telnet可以登录,实际上是开了另外一条可以登录服务器的通道,以免ssh升级出错,造成无法登录服务器。
如图,我要升级的服务器ip地址是10.0.30.100,从另外一台机器上telnet登录到30.100
升级OpenSSL
先确保你的服务器上已经有gcc,gcc-c++。这两个是编译工具。
#rpm -qa |grep gcc
若没有安装,则执行安装,这里我已经下载了gcc,gcc-c++的包。
如果你的服务器联网,可以执行:
#yum install gcc gcc-c++
如果没有联网,就提前下载rpm包,可以采取上面yumdownload方法从联网服务器上下载。(也可以采用yum安装,然后将yum的cache打开,这样在安装的时候就会保存下来下载的所有的依赖包)
建议yum安装,否则你将要下载很多依赖包。
上图,是为了安装gcc,gcc-c++,下载的所有依赖包。
因为一开始安装的时候,会返回下图依赖错误。
然后根据依赖错误,下载了所有的依赖包。
如下图这样,相互依赖的。安装这个,返回依赖错误(已安装的版本不一致造成),安装那个就返回这个依赖错误。
这样的,直接rpm -Uvh 后面跟这两个安装包的名字。
rpm -Uvh glibc-common*.rpm glibc-2.17*.rpm
卸载旧的openssl包。
#rpm -qa |grep openssl
解压openssl安装包
#tar -xvf openssl-1.0.2o.tar.gz
卸载这些包。
#for i in $(rpm -qa |grep openssl);do rpm -e $i --nodeps ;done
进入openssl-1.0.2o目录
#cd openssl-1.0.2o
执行:
#./config shared
执行安装
#make && make install
安装完毕。
执行命令:
#echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
#ldconfig
配置ssl库
#cp /usr/local/ssl/lib/libssl.so.1.0.0 /usr/lib64
#cp /usr/local/ssl/lib/libcrypto.so.1.0.0 /usr/lib64
#ln -s /usr/lib64/libcrypto.so.1.0.0 /usr/lib64/libcrypto.so.10
#ln -s /usr/lib64/libcrypto.so.1.0.0 /usr/lib64/libcrypto.so
#ln -s /usr/lib64/libssl.so.1.0.0 /usr/lib64/libssl.so.10
#ln -s /usr/lib64/libssl.so.1.0.0 /usr/lib64/libssl.so
#ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
#ln -s /usr/local/ssl/include/openssl /usr/include/openssl
查看openssl版本
#openssl version -a
升级成功
升级OpenSSH
解压openssh安装包
#tar xvf openssh-7.7p1.tar.gz
#cd openssh-7.7p1
卸载原openssh
#rpm -qa |grep openssh
卸载
#for i in $(rpm -qa |grep openssh);do rpm -e $i --nodeps ;done
执行:
#./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --without-hardening
删除原ssh配置目录
#rm -rf /etc/ssh
安装
#make && make install
安装完成,执行配置
#cp ./contrib/redhat/sshd.init /etc/init.d/sshd
#chkconfig --add sshd
#chkconfig sshd on
#chkconfig --list|grep sshd
查看版本
#ssh -V
执行命令(这一步也很重要):
#sed -i "32 aPermitRootLogin yes" /etc/ssh/sshd_config
#service sshd restart
升级完成。
从其他服务器ssh登录升级的服务器,登录成功!
注意:不要轻易卸载zlib软件