centos7生产环境下openssh升级

因为生产环境ssh版本过低，致使使用安全软件扫描时提示系统处于异常不安全的状态，主要缘由是ssh漏洞。推荐经过升级ssh版本修复漏洞

由于是生产环境，因此有不少问题须要注意。为了保险起见，在生产环境下作的任何升级之类的操做，最好先在测试环境中先测试一下，若是测试没问题再在生产环境中实施

系统环境：centos7.3

[root@localhost perl-5.28.0]# ssh -V

OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013

[root@localhost perl-5.28.0]# rpm -qa|grep zlib
zlib-1.2.7-17.el7.x86_64

有一个问题须要注意一下，那就是版本兼容问题。升级的openssh须要依赖于openssl和zlib，不一样的openssh版本

下载地址

http://www.zlib.net/

https://www.openssl.org/source/        #这个下哪一个版本必定要看openssh的要求，过高或者过低的版本都不行

http://www.openssh.com/portable.html

在安装过程当中可能会提示perl5没安装，因此咱们可能还须要安装perl5

http://www.perl.org/get.html#unix_like

 

注意必定要安装telnet并开启，不然ssh在升级过程当中一旦出现什么问题，你就等着去机房操做吧。我就在升级过程当中遇到过ssh服务重启失败的状况，致使没法ssh链接，还好有telnet-server,telnet安装好以后也要测试能链接成功

下面正式开始操做

#OS:centos6.5
#注意事项：其中第1、2、四部分在须要升级ssh版本的服务器上执行，第三步在其余机器上经过telnet链接执行，第三步以后才能执行第四步
#第一部分：要求，telnet测试成功
#第二部分：要求，ssh -V显示版本已更新，能够另开一个窗口ssh链接上去，yum list等也均可以正常使用
#第三部分：要求，经过telnet链接，重启ssh服务
#第四部分：要求，撤销开放的telnet链接，升级工做完成

#如下代码区域的命令能够直接复制到脚本内执行,按照如下步骤来

#!/bin/bash
#第一部分：这一部分须要根据实际状况修改，版本不一样要修改对应的文件名
#下载压缩包
#注意查看新版openssh的zlib和openssl版本要求 http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/INSTALL
yum install wget -y  #安装wget才能下载压缩包啊，若是一下地址失效，能够直接访问主页寻找下载的地方
wget http://www.zlib.net/zlib-1.2.11.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2q.tar.gz #注意最新版openssh不支持最新版本openssh
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
wget https://www.cpan.org/src/5.0/perl-5.28.0.tar.gz
#解压
tar -zxvf  zlib*   #输入zlib后直接按tab键回车便可
tar -zxvf  openssl*
tar -zxvf perl* #在安装openssl前，还须要先安装好perl5
tar -zxvf openssh*
#删除压缩包，不然咱们后面很差针对文件操做
rm -rf *.tar.gz
#telnet服务
yum -y install telnet-server*


#如下内容为新增完善的，将xinetd里的telnet服务启用
cat > /etc/xinetd.d/telnet <<EOF
service telnet
{
flags = REUSE
socket_type = stream
wait = no 
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no   #启用telnet
}
<<EOF


mv /etc/securetty /etc/securetty.old    #容许root用户经过telnet登陆
service xinetd start                    #启动telnet服务
chkconfig xinetd on                     #使telnet服务开机启动，避免升级过程当中服务器意外重启后没法远程登陆系统
service iptables stop
chkconfig --del iptables
setenforce 0
sed -i 's/=enforcing/=disabled/' /etc/selinux/config
echo "telnet设置完毕，请开启一个终端测试"
echo "opensshversion=解压后的openssh文件夹名,由于咱们后面要用到openssh+版本这一文件名，因此在这里先赋值留给后面，例如opensshversion=openssh-7.9p1"

接着新开一个ssh链接窗口(必定要能经过telnet成功链接上去才能够)：

#测试telnet功能，新开一个链接终端

telnet [ip]

#!/bin/bash
#第二部分：
#正式开始安装
#zlib的更新
yum install gcc pam-devel zlib-devel -y    #提早安装好依赖
#tar -zxvf  zlib-1.2.11.tar.gz   #输入zlib后直接按tab键回车便可
#cd zlib-1.2.11
cd zlib*
./configure --prefix=/usr    #检查依赖关系
make        #编译
rpm -e --nodeps zlib    #卸载zlib
make install    #开始安装
echo '/usr/lib' >> /etc/ld.so.conf
ldconfig     #执行完成后，看yum list是否能够正常使用，若是能够说明正常了

#准备安装openssl
find / -name openssl    #不一样版本会有不一样的文件，对这些文件夹进行备份，以下 
cp -r /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old   
cp -r /usr/bin/openssl /usr/bin/openssl.old
cp -r /usr/lib64/openssl /usr/lib64/openssl.old

cp /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.10.old  #注意这两个是库文件，也须要先备份一下
cp /usr/lib64/libssl.so.10 /usr/lib64/libssl.so.10.old   
#rpm -qa|grep openssl   #对返回的结果进行卸载，以下，不一样版本也会是不一样的文件
#rpm -e --nodeps openssl-1.0.1e-60.el7.x86_6457  
rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}    #该命令至关于直接执行以上两条命令
cd
#tar -zxvf  openssl-1.0.2o.tar.gz 
#cd openssl*
#./config --prefix=/usr --openssldir=/etc/ssl --shared zlib  #在执行这里的时候，会提示没有安装perl5，因此还须要安装perl5
#cd
#wget https://www.cpan.org/src/5.0/perl-5.28.0.tar.gz
#tar -zxvf perl-5.28.0.tar.gz #在安装openssl前，还须要先安装好perl5
cd perl*
./Configure -des -Dprefix=$HOME/localperl 
make　　#这几步操做都很耗时
make test   #这里可能提示失败
cd t
chmod +x  ../cpan/File-Path/t/Path_root.t
../cpan/File-Path/t/Path_root.t
./perl -I../lib harness op/filetest.t  #若是这里提示所有成功了，应该就没什么问题
cd ..
make install
perl -v        #检测perl5是否安装成功
cd ..
cd openssl*  
./config --prefix=/usr --openssldir=/etc/ssl --shared zlib  #继续安装openssl
make
make test
make install
openssl version
cd 
mv  -f /usr/lib64/libcrypto.so.10.old  /usr/lib64/libcrypto.so.10  #恢复原来的库文件，由于新安装的openssl没包含这两个库文件
mv  -f /usr/lib64/libssl.so.10.old  /usr/lib64/libssl.so.10  
openssl version

#安装openssh
mv /etc/ssh /etc/ssh.old    #开始准备安装openssh
#rpm -qa|grep openssh
#rpm -e --nodeps openssh-5.3p1-94.el6.x86_64  
#rpm -e --nodeps openssh-server-5.3p1-94.el6.x86_64
rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}
install  -v -m700 -d /var/lib/sshd
chown  -v root:sys /var/lib/sshd
groupadd -g 50 sshd
useradd  -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd 
#tar -zxvf openssh-7.9p1.tar.gz 
cd openssh*
./configure --prefix=/usr  --sysconfdir=/etc/ssh  --with-md5-passwords  --with-pam  --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd  
make
make install    执行可能会提示WARNING: UNPROTECTED PRIVATE KEY FILE!缘由是下面几个文件的权限问题，因此先执行如下命令
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key
ssh -V
install -v -m755    contrib/ssh-copy-id /usr/bin
install -v -m644    contrib/ssh-copy-id.1 /usr/share/man/man1  
install -v -m755 -d /usr/share/doc/openssh-7.9p1
install -v -m644    INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.9p1 
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
chkconfig  --add  sshd
chkconfig  sshd  on
chkconfig  --list  sshd
echo "PermitRootLogin yes" >>/etc/ssh/sshd_config    #openssh7.9须要执行这个，默认配置文件禁止使用密码登陆，不执行你就没法经过ssh登陆

而后

#第三部分：
#经过telnet链接，重启ssh服务
service sshd restart
ssh -V #提示ssh为安装的最新版本，升级成功

#!/bin/bash
#第四部分：
#善后工做，取消telnet
mv /etc/securetty.old /etc/securetty
chkconfig  xinetd off
service xinetd stop

 

附加知识：

#版本回退，如需还原以前的ssh配置信息，可直接删除升级后的配置信息，恢复备份。
rm -rf /etc/ssh
mv /etc/ssh.old /etc/ssh

有时候咱们还会遇到openssh已经升过级的状况，并且安装方式仍是编译安装的，很明显上面的方式就不合适了

因此咱们的的rpm -qa|grep ssh卸载方式那里须要换一下

find / -name ssh  通常会返回旧版本的安装路径，里面包含旧版本号的就是旧openssh的安装路径

进入该路径执行cp -r /etc/ssh /etc/ssh.old 先作一个备份，再执行make uninstall就能够卸载了，其余步骤跟上面类似

 

备注：第二次修改（应该没有什么特别大的问题了）