centos openssh升级（线上服务器验证通过）

低版本openssh漏洞较多，升级openssh之前一定要确保不会影响现有业务。

1、 安装dropbear（防止openssh升级过程出现问题无法连接服务器）         //如果是物理机有远程管理卡更好

wget  https://matt.ucc.asn.au/dropbear/releases/dropbear-2014.66.tar.bz2

tar jxf dropbear-2014.66.tar.bz2

cd dropbear-2014.66

./configure

make && make install

mkdir /etc/dropbear

dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key

dropbearkey -t rsa -s 4096 -f /etc/dropbear/dropbear_rsa_host_key

dropbear -p 2222    //监听2222端口

netstat -antup|grep 2222

 

客户端连接测试：

ssh  IP –p 2222   (密码为root密码)

确认可以连接服务器后在进行升级。

2、升级openssl

yum –y install openssl   (为了更新到较新的libssl.so 和 libcrypt.so)

yum –y install zlib-devel pam-devel （后面会依赖到）

下载、解压(这里不用卸载旧版本，多台服务器已试)

wget https://www.openssl.org/source/openssl-1.0.2p.tar.gz

tar xf openssl-1.0.2p.tar.gz

 ./config --prefix=/usr --shared 

 make   

 make test

 make install

完毕后查看openssl版本安装是否正确

 openssl version

 

3、 升级openssh

停止sshd服务：service sshd stop

备份ssh配置：mv /etc/ssh /etc/ssh.bak

下载、解压

wget ftp://ftp5.usa.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.7p1.tar.gz        (ftp://ftp5.usa.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.8p1.tar.gz)

tar xf openssh-7.7p1.tar.gz

卸载旧版本：

rpm –qa |grep openssh

 

先用yum卸载openssh-clients（因为有依赖）

 

然后：rpm –e ` rpm –qa |grep openssh `

 

卸载完毕后，开始编译安装：

 

 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords

 

make && make install 
复制启动脚本到/etc/init.d

 

 cp  ../contrib/RedHat/sshd.init   /etc/init.d/sshd  //..为解压包目录

 

加入开机自启

 

chkconfig --add sshd

 

修改ssh配置文件：

 

Vim /etc/ssh/sshd.conf

 

PasswordAuthentication yes

ChallengeResponseAuthentication yes

PermitRootLogin yes

 

启动sshd服务：service sshd start

查看openssh版本：ssh -V

升级完成