原来公司有一个项目，因为客户的服务器系统上openssh版本低，扫描有漏洞，需要做openssh升级，因此在网上查了很多升级openssh的资料，实践的时候踩过很多的坑，但是最后还是升级成功了，这里整理记录一下升级的过程，以免大家重复踩同样的坑。

以前我发布在了百度经验上面，现在重新录入在简书里面。

系统：CentOS7

需要准备的包（准备这些rpm包，是因为我要升级的服务器无法联网）

openssl-1.0.2o.tar.gz

openssh-7.7p1.tar.gz

pam-1.1.8-22.el7.x86_64.rpm

pam-devel-1.1.8-22.el7.x86_64.rpm

zlib-1.2.7-17.el7.x86_64.rpm

zlib-devel-1.2.7-17.el7.x86_64.rpm

telnet-0.17-64.el7.x86_64.rpm

telnet-server-0.17-64.el7.x86_64.rpm

openssl-1.0.2k-12.el7.x86_64.rpm

之所以需要低版本的openssl，是因为如果在后面卸载openssl后，无法继续操作的话，再次安装openssl，不至于造成系统无法使用。

这些包可以自己搜索一下去下载，也可以通过yumdownload来下载。（yumdownload 是安装yum-utils后可以使用）

例如下载pam，可以执行：

升级openssh，先要开启telnet，确保telnet可以正常登陆。这样当openssh升级出现问题的时候，还可以通过telnet登录到服务器操作。

安装依赖包

pam,pam-devel,xinted,zlib,zlib-devel,telnet,telnet-server

安装pam

先查看是否有pam已经安装

服务器上面有pam的包。

采用rpm -U升级安装，免得rpm -e  --nodeps卸载包出现问题。（而且真有可能出现问题，尤其是zlib包）

安装xinted

安装zlib

安装telnet

开启xinetd

查看状态

启动telnet

默认情况下，telnet是不允许root登录的。

执行命令：

关闭selinux

如下图将selinux设置为disable

关闭防火墙

编辑pam配置文件，以便telnet允许root登录。

如图注释这一行

编辑配置文件：

如图注释这一行

重启xinetd，telnet服务

然后从其他服务器利用telnet测试登录（当然另外一台服务器上已经安装了telnet）

输入账号密码，登录成功。

telnet可以登录，实际上是开了另外一条可以登录服务器的通道，以免ssh升级出错，造成无法登录服务器。

如图，我要升级的服务器ip地址是10.0.30.100，从另外一台机器上telnet登录到30.100

升级OpenSSL

先确保你的服务器上已经有gcc，gcc-c++。这两个是编译工具。

若没有安装，则执行安装，这里我已经下载了gcc，gcc-c++的包。

如果你的服务器联网，可以执行：

如果没有联网，就提前下载rpm包，可以采取上面yumdownload方法从联网服务器上下载。（也可以采用yum安装，然后将yum的cache打开，这样在安装的时候就会保存下来下载的所有的依赖包）

建议yum安装，否则你将要下载很多依赖包。

上图，是为了安装gcc，gcc-c++，下载的所有依赖包。

因为一开始安装的时候，会返回下图依赖错误。

然后根据依赖错误，下载了所有的依赖包。

如下图这样，相互依赖的。安装这个，返回依赖错误（已安装的版本不一致造成），安装那个就返回这个依赖错误。

这样的，直接rpm -Uvh 后面跟这两个安装包的名字。

卸载旧的openssl包。

解压openssl安装包

卸载这些包。

进入openssl-1.0.2o目录

执行：

执行安装

安装完毕。

执行命令：

配置ssl库

查看openssl版本

升级成功

升级OpenSSH

解压openssh安装包

卸载原openssh

卸载

执行：

删除原ssh配置目录

安装

安装完成，执行配置

查看版本

执行命令（这一步也很重要）：

升级完成。

从其他服务器ssh登录升级的服务器，登录成功！

注意：不要轻易卸载zlib软件