说明
本次维护的时间是 2023-2-9
最新已发布的补丁是 OpenSSH9.2P1版本
其他本本应该是类似处理.
下载介质
在 OpenSSH官网打开相关界面.
http://www.openssh.com/
打开
For Other systems
打开release界面.比如我这边使用这个mirror
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
最新的介质为:
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.2p1.tar.gz
前提处理
yum install openssl-devel krb5-devel pam-devel rpm-build -y
mkdir /root/rpmbuild/{RPMS,SOURCES,SPECS}
解压缩文件并且存放于具体路径
将 openssh-9.2p1 存放于/root/rpmbuild/SOURCES
将 openssh.spec存放于 /root/rpmbuild/SPECS
注意原始文件路径为:
/openssh-9.2p1/contrib/redhat
与之前的文档一样, 需要修改:
注意需要修改一下 如下三个配置:
%global no_x11_askpass 1
%global no_gnome_askpass 1
#BuildRequires: openssl-devel < 1.1
#注意将 最后一个配置文件注释掉.
修改版本号信息
注意修改openssh的版本号文件
文件在:
/openssh-9.2p1/version.h
注意修改的信息为:
#define SSH_VERSION "OpenSSH_9.2"
修改为
#define SSH_VERSION "OpenSSH_99.99"
便于混淆版本号
安装高版本的openssl1.1.1s
下载指代的tar包
进行解压缩
然后执行 config
cd openssl-1.1.1s/
./config --prefix=/usr/local/openssl-1.1.1s
执行make
需要注意 openssl的编译时间非常长
# 我有一台服务没有做下面的操作也可以了 ,尴尬
ln -s /usr/local/openssl-1.1.1s /usr/local/openssl
mv /usr/bin/openssl /usr/bin/openssl_old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
进行编译和打包
cd /root/rpmbuild/SOURCES/
tar -czvf openssh-9.2p1.tar.gz openssh-9.2p1/
# 注意解压缩为了修改版本信息.
# 打包rpm需要使用 原始的tar包.
cd /root/rpmbuild/SPECS
time rpmbuild -bb openssh.spec
生成与安装rpm
执行了rpmgbuild 后会在指定路径下形成如下的rpm包
cd /root/rpmbuild/RPMS/x86_64/
然后生成文件主要如下:
-rw-r--r-- 1 root root 667440 2月 9 openssh-9.2p1-1.el7.x86_64.rpm
-rw-r--r-- 1 root root 640588 2月 9 openssh-clients-9.2p1-1.el7.x86_64.rpm
-rw-r--r-- 1 root root 3267580 2月 9 openssh-debuginfo-9.2p1-1.el7.x86_64.rpm
-rw-r--r-- 1 root root 471952 2月 9 openssh-server-9.2p1-1.el7.x86_64.rpm
然后可以在此目录下执行 yum localinstall *.rpm -y
注意升级了较高版本需要修改一下pam的级别
cat </etc/pam.d/sshd <<EOF
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
## pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
EOF
需要修改一下 sshd的配置文件
vim /etc/ssh/sshd_config
将如下部分修改为:
PermitRootLogin yes
也可以执行命令
注意需要使用 :wq! 保存只读文件.
方法2:
sed -i '/PermitRootLogin/d' /etc/ssh/sshd_config
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
重启服务:
systemctl restart sshd
版本验证
[root@centos7 x86_64]# ssh -V
OpenSSH_99.99p1, OpenSSL 1.0.2k-fips 26 Jan 2017
[root@centos7 x86_64]# telnet 127.0.0.1 22
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_99.99
如果不升级仅修改telnet显示ssh版本的方法
strings /usr/sbin/sshd | grep OpenSSH
获取一个版本号 比如 OpenSSH_7.4 或者是其他任意
scp /usr/sbin/sshd /usr/sbin/sshd_jnxlh -a
sed -i 's/OpenSSH_7.4/OpenSSH_99.99/g' /usr/sbin/sshd
systemctl restart sshd
也可以实现. 但是实际版本号未修改.
ssh-copy-id的使用说明
这是一个脚本, 而不是二进制文件
一般存放的路径为:
openssh-9.2p1/contrib/ssh-copy-id
将这个文件复制到 /usr/bin 目录下并且设置可执行权限即可.
