SSH升级与配置
1.安装telnet服务并启用
1.1安装telnet服务
yum -y install telnet-server-0.17-47.el6.x86_64.rpm
1.2 启用telnet
先关闭防火墙,否则telnet可能无法连接 # service iptables stop # chkconfig iptables off # vi /etc/xinetd.d/telnet 将其中disable字段的yes改为no以启用telnet服务 # mv /etc/securetty /etc/securetty.old #允许root用户通过telnet登录 # service xinetd start #启动telnet服务 # chkconfig xinetd on #使telnet服务开机启动,避免升级过程中服务器意外重启后无法远程登录系统 # telnet [ip] #新开启一个远程终端以telnet登录验证是否成功启用 ***如果telnet如果不能登录 # service xinetd restart
2.升级OpenSSL
2.1备份当前openssl
# find / -name openssl /usr/include/openssl /usr/lib64/openssl /usr/bin/openssl /usr/share/doc/ruby-1.8.7.374/sample/openssl /usr/lib/ruby/1.8/openssl /etc/pki/ca-trust/extracted/openssl 找到多少个就备份几个 # mv /usr/include/openssl /usr/include/openssl.old # mv /usr/lib64/openssl /usr/lib64/openssl.old # mv /usr/bin/openssl /usr/bin/openssl.old # mv /usr/share/doc/ruby-1.8.7.374/sample/openssl /usr/share/doc/ruby-1.8.7.374/sample/openssl.old # mv /usr/lib/ruby/1.8/openssl /usr/lib/ruby/1.8/openssl.old # mv /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old 如下两个库文件必须先备份,因系统内部分工具(如yum、wget等)依赖此库,而新版OpenSSL不包含这两个库 # cp /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.10.old # cp /usr/lib64/libssl.so.10 /usr/lib64/libssl.so.10.old
2.2 卸载当前openssl
# rpm -qa | grep openssl
# rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}
2.3 解压openssl_1.0.2k源码并编译安装
# tar -zxvf openssl-1.0.2g.tar.gz # cd openssl-1.0.2g # ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #必须加上--shared,否则编译时会找不到新安装的openssl的库而报错 # make # make test #必须执行这一步结果为pass才能继续,否则即使安装完成,ssh也无法使用 # make install # openssl version -a #查看是否升级成功
注释: 如果第三步出现错误:
安装编译所需工具包:# yum -y install gcc pam-devel zlib-devel
共享库注册
zlib安装完成后,会在/usr/lib目录中生产zlib相关库文件,需要将这些共享库文件注册到系统中。
# echo '/usr/lib' >> /etc/ld.so.conf # ldconfig #更新共享库cache
2.4 恢复共享库
由于OpenSSL_1.0.2k不提供libcrypto.so.10和libssl.so.10这两个库,而yum、wget等工具又依赖此库,因此需要将先前备份的这两个库进行恢复,其他的可视情况考虑是否恢复。
# mv /usr/lib64/libcrypto.so.10.old /usr/lib64/libcrypto.so.10 # mv /usr/lib64/libssl.so.10.old /usr/lib64/libssl.so.10
3.升级OpenSSH
3.1备份当前openssh
# mv /etc/ssh /etc/ssh.old
3.2 卸载当前openssh
# rpm -qa | grep openssh
openssh-clients-5.3p1-111.el6.x86_64
openssh-server-5.3p1-111.el6.x86_64
openssh-5.3p1-111.el6.x86_64
openssh-askpass-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64
# rpm -qa | grep openssh
或者直接执行此命令:rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}
3.3 openssh安装前环境配置
# install -v -m700 -d /var/lib/sshd # chown -v root:sys /var/lib/sshd # groupadd -g 50 sshd # useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd
3.4解压openssh_7.4p1源码并编译安装
# tar -zxvf openssh-7.6p1.tar.gz # cd openssh-7.6p1 # ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd # make # make install
3.5 openssh安装后环境配置
# 在openssh编译目录执行如下命令 # install -v -m755 contrib/ssh-copy-id /usr/bin # install -v -m644 contrib/ssh-copy-id.1 /usr/share/man/man1 # install -v -m755 -d /usr/share/doc/openssh-7.6p1 # install -v -m644 INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.6p1 # ssh -V #验证是否升级成功
3.6 用OpenSSH服务
# 在openssh编译目录执行如下目录 # echo 'X11Forwarding yes' >> /etc/ssh/sshd_config # echo "PermitRootLogin yes" >> /etc/ssh/sshd_config #允许root用户通过ssh登录 # cp -p contrib/redhat/sshd.init /etc/init.d/sshd # chmod +x /etc/init.d/sshd # chkconfig --add sshd # chkconfig sshd on # chkconfig --list sshd # service sshd restart 注意:如果升级操作一直是在ssh远程会话中进行的,上述sshd服务重启命令可能导致会话断开并无法使用ssh再行登入(即ssh未能成功重启),此时需要通过telnet登入再执行sshd服务重启命令。
4.善后工作
新开启远程终端以ssh [ip]登录系统,确认一切正常升级成功后,只需关闭telnet服务以保证系统安全性即可。
# mv /etc/securetty.old /etc/securetty # chkconfig xinetd off # service xinetd stop
浙公网安备 33010602011771号