這個文章是轉載,原文連線在這個:https://www.cnblogs.com/xshrim/p/6472679.html
這個問題遇到過,下面可以解決
---------------------------------------------------------------------------------------------
導語
Redhat企業級系統的6.9版自帶SSH版本為OpenSSH_8.6p1, 基於審計和安全性需求,建議將其升級到最新的OpenSSH版本,當前官網最新版本為8.6p1. 本文件將詳細介紹OpenSSH升級的完整步驟。需要說明的是,升級過程中雖然涉及zlib、openssl和openssh的解除安裝,但是並不會導致當前的ssh遠端連線會話斷開,因此是可以將整個升級過程寫成自動化指令碼以進行自動批量部署的。
步驟
1、準備工作
1.1、下載相關軟體包
OpenSSH需要依賴ZLIB和OpenSSL,因此需要從官網下載三者的原始碼包。 三者原始碼下載地址:
http://www.zlib.net/
http://www.openssl.org/
http://www.openssh.org/
1.2、檢視系統當前軟體版本
# rpm -q zlib
# openssl version
# ssh -V
1.3、配置本地yum源
因安裝相關工具和編譯原始碼需要先安裝部分軟體包,因此需要先配置好本地yum源(如有遠端yum源更好),配置方法如下:
A、將作業系統映象上傳到伺服器中,進行掛載
# mount -o loop rhel-server-6.7-x86_64-dvd.iso /mnt #此處掛載目錄可自行指定
B、配置yum原始檔
# cd /etc/yum.repos.d
# rm -rf * #刪除當前所有yum原始檔
# vi rhel6.9.repo
# cat rhel6.9repo #向新建的yum原始檔中加入如下內容
[Server]
name=RHELServer
baseurl=file:///mnt/Server
enabled=1
gpgcheck=0
[ResilientStorage]
name=RHELResilientStorage
baseurl=file:///mnt/ResilientStorage
enabled=1
gpgcheck=0
[ScalableFileSystem]
name=RHELScalableFileSystem
baseurl=file:///mnt/ScalableFileSystem
enabled=1
gpgcheck=0
[HighAvailability]
name=RHELHighAvailability
baseurl=file:///mnt/HighAvailability
enabled=1
gpgcheck=0
[LoadBalancer]
name=RHELLoadBalancer
baseurl=file:///mnt/LoadBalancer
enabled=1
gpgcheck=0
# yum clean all #清除yum快取,使當前配置生效
# yum list #檢視是否配置成功
1.4、安裝telnet服務並啟用
因升級OpenSSH過程中需要解除安裝現有OpenSSH, 因此為了保持伺服器的遠端連線可用,需要啟用telnet服務作為替代,如升級出現問題,也可通過telnet登入伺服器進行回退。
A、安裝telnet服務
# yum -y install telnet-server*
B、啟用telnet
# vi /etc/xinetd.d/telnet
將其中disable欄位的yes改為no以啟用telnet服務
# mv /etc/securetty /etc/securetty.old #允許root使用者通過telnet登入
# service xinetd start #啟動telnet服務
# chkconfig xinetd on #使telnet服務開機啟動,避免升級過程中伺服器意外重啟後無法遠端登入系統
# telnet [ip] #新開啟一個遠端終端以telnet登入驗證是否成功啟用
1.5、安裝編譯所需工具包
# yum -y install gcc pam-devel zlib-devel
2、正式升級
2.1、升級ZLIB
A、解壓zlib_1.2.11原始碼並編譯
# tar -zxvf zlib-1.2.11.tar.gz
# cd zlib-1.2.11
# ./configure --prefix=/usr
# make
B、解除安裝當前zlib
注意:此步驟必須在步驟A執行完畢後再執行,否則先解除安裝zlib後,/lib64/目錄下的zlib相關庫檔案會被刪除,步驟A編譯zlib會失敗。(補救措施:從其他相同系統的伺服器上覆制/lib64、/usr/lib和/usr/lib64目錄下的libcrypto.so.10、libssl.so.10、libz.so.1、libz.so.1.2.3四個檔案到相應目錄即可。可通過whereis、locate或find命令找到這些檔案的位置)
# rpm -e --nodeps zlib
C、安裝之前編譯好的zlib
# 在zlib編譯目錄執行如下命令
# make install
D、共享庫註冊
zlib安裝完成後,會在/usr/lib目錄中生產zlib相關庫檔案,需要將這些共享庫檔案註冊到系統中。
# echo '/usr/lib' >> /etc/ld.so.conf
# ldconfig #更新共享庫cache
或者採用如下方式也可:
# ln -s /usr/lib/libz.so.1 libz.so.1.2.11
# ln -s /usr/lib/libz.so libz.so.1.2.11
# ln -s /usr/lib/libz.so.1 /lib/libz.so.1
# ldconfig
可通過yum list命令驗證是否更新成功(更新失敗yum不可用),另外redhat和centos的5.*版本不支援高於1.2.3的zlib版本。
2.2、升級OpenSSL
官方升級文件:http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/openssl.html
A、備份當前openssl
# find / -name openssl
/usr/lib64/openssl
/usr/bin/openssl
/etc/pki/ca-trust/extracted/openssl # mv /usr/lib64/openssl /usr/lib64/openssl.old
# mv /usr/bin/openssl /usr/bin/openssl.old
# mv /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old
B、解除安裝當前openssl
# rpm -qa | grep openssl
openssl-1.0.1e-42.el6.x86_64 # rpm -e --nodeps openssl-1.0.1e-42.el6.x86_64
# rpm -qa | grep openssl
或者直接執行此命令:rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}
C、解壓openssl_1.0.2k原始碼並編譯安裝
# tar -zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #必須加上--shared,否則編譯時會找不到新安裝的openssl的庫而報錯
# make
# make test #必須執行這一步結果為pass才能繼續,否則即使安裝完成,ssh也無法使用
# make install
# openssl version -a #檢視是否升級成功
2.3、升級OpenSSH
官方升級文件:http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html
A、備份當前openssh
# mv /etc/ssh /etc/ssh.old
B、解除安裝當前openssh
# rpm -qa | grep openssh
openssh-clients-5.3p1-111.el6.x86_64
openssh-server-5.3p1-111.el6.x86_64
openssh-5.3p1-111.el6.x86_64
openssh-askpass-5.3p1-111.el6.x86_64 # rpm -e --nodeps openssh-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64
# rpm -qa | grep openssh
或者直接執行此命令:rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}
C、openssh安裝前環境配置
# install -v -m700 -d /var/lib/sshd
# chown -v root:sys /var/lib/sshd
# groupadd -g 50 sshd
# useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd
D、解壓openssh_8.6p1原始碼並編譯安裝
# tar -zxvf openssh-7.4p1.tar.gz
# cd openssh-7.4p1
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd
# make
# make install
E、openssh安裝後環境配置
# 在openssh編譯目錄執行如下命令
# install -v -m755 contrib/ssh-copy-id /usr/bin
# install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1
# install -v -m755 -d /usr/share/doc/openssh-8.6p1
# install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-8.6p1
# ssh -V #驗證是否升級成功
F、啟用OpenSSH服務
# 在openssh編譯目錄執行如下目錄
# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
# echo "PermitRootLogin yes" >> /etc/ssh/sshd_config #允許root使用者通過ssh登入
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# chmod +x /etc/init.d/sshd
# chkconfig --add sshd
# chkconfig sshd on
# chkconfig --list sshd
# service sshd restart
注意:如果升級操作一直是在ssh遠端會話中進行的,上述sshd服務重啟命令可能導致會話斷開並無法使用ssh再行登入(即ssh未能成功重啟),此時需要通過telnet登入再執行sshd服務重啟命令。
3、善後工作
新開啟遠端終端以ssh [ip]登入系統,確認一切正常升級成功後,只需關閉telnet服務以保證系統安全性即可。
# mv /etc/securetty.old /etc/securetty
# chkconfig xinetd off
# service xinetd stop
如需還原之前的ssh配置資訊,可直接刪除升級後的配置資訊,恢復備份。
# rm -rf /etc/ssh
# mv /etc/ssh.old /etc/ssh
#或者可以一直使用 yum -y install openssh* ,安裝完成後重啟sshd即可