0
点赞
收藏
分享

微信扫一扫

OpenSSH离线升级-亲测整理

原来公司有一个项目,因为客户的服务器系统上openssh版本低,扫描有漏洞,需要做openssh升级,因此在网上查了很多升级openssh的资料,实践的时候踩过很多的坑,但是最后还是升级成功了,这里整理记录一下升级的过程,以免大家重复踩同样的坑。

以前我发布在了百度经验上面,现在重新录入在简书里面。

系统:CentOS7

需要准备的包(准备这些rpm包,是因为我要升级的服务器无法联网)


openssl-1.0.2o.tar.gz

openssh-7.7p1.tar.gz

pam-1.1.8-22.el7.x86_64.rpm

pam-devel-1.1.8-22.el7.x86_64.rpm

zlib-1.2.7-17.el7.x86_64.rpm

zlib-devel-1.2.7-17.el7.x86_64.rpm

telnet-0.17-64.el7.x86_64.rpm

telnet-server-0.17-64.el7.x86_64.rpm

openssl-1.0.2k-12.el7.x86_64.rpm


之所以需要低版本的openssl,是因为如果在后面卸载openssl后,无法继续操作的话,再次安装openssl,不至于造成系统无法使用。

这些包可以自己搜索一下去下载,也可以通过yumdownload来下载。(yumdownload 是安装yum-utils后可以使用)

例如下载pam,可以执行:

升级openssh,先要开启telnet,确保telnet可以正常登陆。这样当openssh升级出现问题的时候,还可以通过telnet登录到服务器操作。

安装依赖包

pam,pam-devel,xinted,zlib,zlib-devel,telnet,telnet-server

安装pam

先查看是否有pam已经安装

服务器上面有pam的包。

采用rpm -U升级安装,免得rpm -e  --nodeps卸载包出现问题。(而且真有可能出现问题,尤其是zlib包)

安装xinted

安装zlib

安装telnet

开启xinetd

查看状态

启动telnet

默认情况下,telnet是不允许root登录的。

执行命令:


关闭selinux

如下图将selinux设置为disable

关闭防火墙

编辑pam配置文件,以便telnet允许root登录。

如图注释这一行

编辑配置文件:

如图注释这一行

重启xinetd,telnet服务

然后从其他服务器利用telnet测试登录(当然另外一台服务器上已经安装了telnet)

输入账号密码,登录成功。

telnet可以登录,实际上是开了另外一条可以登录服务器的通道,以免ssh升级出错,造成无法登录服务器。

如图,我要升级的服务器ip地址是10.0.30.100,从另外一台机器上telnet登录到30.100


升级OpenSSL

先确保你的服务器上已经有gcc,gcc-c++。这两个是编译工具。

若没有安装,则执行安装,这里我已经下载了gcc,gcc-c++的包。

如果你的服务器联网,可以执行:

如果没有联网,就提前下载rpm包,可以采取上面yumdownload方法从联网服务器上下载。(也可以采用yum安装,然后将yum的cache打开,这样在安装的时候就会保存下来下载的所有的依赖包)

建议yum安装,否则你将要下载很多依赖包。

上图,是为了安装gcc,gcc-c++,下载的所有依赖包。

因为一开始安装的时候,会返回下图依赖错误。

然后根据依赖错误,下载了所有的依赖包。

如下图这样,相互依赖的。安装这个,返回依赖错误(已安装的版本不一致造成),安装那个就返回这个依赖错误。

这样的,直接rpm -Uvh 后面跟这两个安装包的名字。

卸载旧的openssl包。

解压openssl安装包

卸载这些包。

进入openssl-1.0.2o目录

执行:

执行安装

安装完毕。

执行命令:

配置ssl库

查看openssl版本

升级成功


升级OpenSSH

解压openssh安装包

卸载原openssh


卸载

执行:


删除原ssh配置目录

安装

安装完成,执行配置

查看版本

执行命令(这一步也很重要):

升级完成。

从其他服务器ssh登录升级的服务器,登录成功!

注意:不要轻易卸载zlib软件

举报

相关推荐

0 条评论