升级前具有漏洞的的版本
通过命令查看目前系统的ssh和sshd版本:
ssh -V
sshd -V
注意:由于ssh是远程连接服务器的功能,在进行下面操作升级openssh前,请打开多个连接会话保持,如升级失败,可通过已连接的会话进行回滚操作。
开始升级
1、安装操作系统依赖包:
yum install -y telnet gcc zlib-devel2、下载最新版openssh和openssl:
1)、openssh下载网址:https://www.openssh.com/releasenotes.html
安装包地址:Index of /pub/OpenBSD/OpenSSH/portable/
举例最新为:OpenSSH9.8p1
2)、由于openssh依赖openssl,所以需要安装新版openssl,从OpenSSH9.4p1开始要求openssl>=1.1.1版本
openssl下载网址:https://www.openssl.org/source/
安装包地址[ Old Releases ] - /source/old/index.html
举例最新:openssl-1.1.1w版本
3)、上传下载的安装包:openssl-1.1.1w.tar.gz和openssh-9.8p1.tar.gz
3、编译升级openssl-1.1.1w
1)、进入到openssl-1.1.1w.tar.gz文件所在的目录,执行编译安装命令:
tar -xzvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
mkdir -p /usr/openssh/openssl1.1.1w
./config --prefix=/usr/openssh/openssl1.1.1w
make
make install
ll /usr/openssh/openssl1.1.1w
cd ..
rm -rf openssl-1.1.1w*2)、修改配置文件:
编辑/etc/profile配置文件(vi /etc/profile),设置环境变量,在profile文件最后添加如下两行:
export LD_LIBRARY_PATH=/usr/openssh/openssl1.1.1w/lib:$LD_LIBRARY_PATH
export PATH=/usr/openssh/openssh9.8p1/bin:/usr/openssh/openssh9.8p1/sbin:/usr/openssh/openssl1.1.1w/bin:$PATH3)、保存配置退出后,然后执行如下命令,确认openssl版本为1.1.1w:
source /etc/profile
openssl version
4、编译升级openssh-9.8p1
1)、进入到openssh-9.8p1.tar.gz文件所在的目录,执行编译安装命令:
tar -xzvf openssh-9.8p1.tar.gz
cd openssh-9.8p1
mkdir -p /usr/openssh/openssh9.8p1
./configure --prefix=/usr/openssh/openssh9.8p1 --with-ssl-dir=/usr/openssh/openssl1.1.1w
make
make install2)、修改配置文件:
vi /usr/openssh/openssh9.8p1/etc/sshd_config#允许root登录,默认值prohibit-password表示root用户只能通过公私钥的方式登录,不能以密码的方式登录
PermitRootLogin yes:允许root用户通过SSH登录到系统(最最最重要这个一定要设置,不然你重启sshd服务之后就不能远程连接了)
PubkeyAuthentication yes:启用公钥身份验证
PasswordAuthentication yes:启用密码身份验证
PermitRootLogin yes
PubkeyAuthentication yes
PasswordAuthentication yes 3)、创建sshd服务自启动文件:
vi /usr/lib/systemd/system/sshd9.service文件内容添加一下内容:
[Unit]
Description=OpenSSH server daemon
After=network.target
[Service]
Type=simple
Environment=LD_LIBRARY_PATH=/usr/openssh/openssl1.1.1w/lib
ExecStart=/usr/openssh/openssh9.8p1/sbin/sshd -D -f /usr/openssh/openssh9.8p1/etc/sshd_config
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s
[Install]
WantedBy=multi-user.target4)、停用原sshd服务,并备份相关文件
systemctl stop sshd.service
systemctl disable sshd.service备份文件:
mkdir /home/ssh-old-bak
mv /etc/ssh /home/ssh-old-bak/
mv /usr/sbin/sshd /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd-keygen.service /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd.service /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd@.service /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd.socket /home/ssh-old-bak/5)、启动新的sshd服务:
systemctl daemon-reload
systemctl start sshd9.service
systemctl status sshd9.service
systemctl enable sshd9.service5、测试验证
重新连接一个新的窗口来测试新sshd是否可以正常连接,并测试版本号,最后重启服务器测试是否可以重启成功:
sshd -V
ssh -V版本号正确,且能连接上,说明升级成功!
注意:升级完openssh后,有一些比较老的远程连接工具可能就无法连接上了(由于密钥等问题),例如secureCRT7等,报错例如“Key exchange failed”
两种解决方式:
1、升级secureCRT至新版本,或用其它工具,例如:MobaXterm_Personal等
2、更新服务端配置文件:
vi /usr/openssh/openssh9.8p1/etc/sshd_config#在配置文件最后添加如下两行:
HostKeyAlgorithms=+ssh-rsa,ssh-dss
KexAlgorithms=+diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1然后重启sshd服务:
systemctl restart sshd9.service
![[spring] Spring MVC - security(上)](https://img-blog.csdnimg.cn/direct/b9ebf925339a44bea948f85c0f143991.jpeg#pic_center)
