原来公司有一个项目,因为客户的服务器系统上openssh版本低,扫描有漏洞,需要做openssh升级,因此在网上查了很多升级openssh的资料,实践的时候踩过很多的坑,但是最后还是升级成功了,这里整理记录一下升级的过程,以免大家重复踩同样的坑。
以前我发布在了百度经验上面,现在重新录入在简书里面。
系统:CentOS7
需要准备的包(准备这些rpm包,是因为我要升级的服务器无法联网)
openssl-1.0.2o.tar.gz
openssh-7.7p1.tar.gz
pam-1.1.8-22.el7.x86_64.rpm
pam-devel-1.1.8-22.el7.x86_64.rpm
zlib-1.2.7-17.el7.x86_64.rpm
zlib-devel-1.2.7-17.el7.x86_64.rpm
telnet-0.17-64.el7.x86_64.rpm
telnet-server-0.17-64.el7.x86_64.rpm
openssl-1.0.2k-12.el7.x86_64.rpm
之所以需要低版本的openssl,是因为如果在后面卸载openssl后,无法继续操作的话,再次安装openssl,不至于造成系统无法使用。
这些包可以自己搜索一下去下载,也可以通过yumdownload来下载。(yumdownload 是安装yum-utils后可以使用)
例如下载pam,可以执行:
升级openssh,先要开启telnet,确保telnet可以正常登陆。这样当openssh升级出现问题的时候,还可以通过telnet登录到服务器操作。
安装依赖包
pam,pam-devel,xinted,zlib,zlib-devel,telnet,telnet-server
安装pam
先查看是否有pam已经安装
服务器上面有pam的包。
采用rpm -U升级安装,免得rpm -e --nodeps卸载包出现问题。(而且真有可能出现问题,尤其是zlib包)
安装xinted
安装zlib
安装telnet
开启xinetd
查看状态
启动telnet
默认情况下,telnet是不允许root登录的。
执行命令:
关闭selinux
如下图将selinux设置为disable
关闭防火墙
编辑pam配置文件,以便telnet允许root登录。
如图注释这一行
编辑配置文件:
如图注释这一行
重启xinetd,telnet服务
然后从其他服务器利用telnet测试登录(当然另外一台服务器上已经安装了telnet)
输入账号密码,登录成功。
telnet可以登录,实际上是开了另外一条可以登录服务器的通道,以免ssh升级出错,造成无法登录服务器。
如图,我要升级的服务器ip地址是10.0.30.100,从另外一台机器上telnet登录到30.100
升级OpenSSL
先确保你的服务器上已经有gcc,gcc-c++。这两个是编译工具。
若没有安装,则执行安装,这里我已经下载了gcc,gcc-c++的包。
如果你的服务器联网,可以执行:
如果没有联网,就提前下载rpm包,可以采取上面yumdownload方法从联网服务器上下载。(也可以采用yum安装,然后将yum的cache打开,这样在安装的时候就会保存下来下载的所有的依赖包)
建议yum安装,否则你将要下载很多依赖包。
上图,是为了安装gcc,gcc-c++,下载的所有依赖包。
因为一开始安装的时候,会返回下图依赖错误。
然后根据依赖错误,下载了所有的依赖包。
如下图这样,相互依赖的。安装这个,返回依赖错误(已安装的版本不一致造成),安装那个就返回这个依赖错误。
这样的,直接rpm -Uvh 后面跟这两个安装包的名字。
卸载旧的openssl包。
解压openssl安装包
卸载这些包。
进入openssl-1.0.2o目录
执行:
执行安装
安装完毕。
执行命令:
配置ssl库
查看openssl版本
升级成功
升级OpenSSH
解压openssh安装包
卸载原openssh
卸载
执行:
删除原ssh配置目录
安装
安装完成,执行配置
查看版本
执行命令(这一步也很重要):
升级完成。
从其他服务器ssh登录升级的服务器,登录成功!
注意:不要轻易卸载zlib软件