Linux作業系統升級openssh實踐
導語
Redhat企業級系統的6.9版自帶SSH版本為OpenSSH_5.3p1, 基於審計和安全性需求,建議將其升級到最新的OpenSSH版本,當前官網最新版本為7.4p1. 本文件將詳細介紹OpenSSH升級的完整步驟。需要說明的是,升級過程中雖然涉及zlib、openssl和openssh的解除安裝,但是並不會導致當前的ssh遠端連線會話斷開,因此是可以將整個升級過程寫成自動化指令碼以進行自動批次部署的。
步驟
1、準備工作
1.1、下載相關軟體包
OpenSSH需要依賴ZLIB和OpenSSL,因此需要從官網下載三者的原始碼包。需要注意的是:OpenSSH最新版7.4p1依賴的OpenSSL版本為1.0.2k,而不是其最新版1.1.0e(使用此版會升級失敗),ZLIB可以使用最新版1.2.11,同時redhat6.9自帶的zlib版本為1.2.3,也可不進行升級(建議zlib還是使用原有版本1.2.3,升級正常且不會有其他各種小問題)。 三者原始碼下載地址:
1.2、檢視系統當前軟體版本
# rpm -q zlib
# openssl version
# ssh -V
1.3、配置本地yum源
因安裝相關工具和編譯原始碼需要先安裝部分軟體包,因此需要先配置好本地yum源(如有遠端yum源更好),配置方法如下:
A、將作業系統映象上傳到伺服器中,進行掛載
# mount -o loop /soft/iso/OEL6.9.iso /yum #此處掛載目錄可自行指定
如果需要在系統啟動時自動掛載,可以把上面這個命令加入/etc/rc.d/rc.local檔案中
B、配置yum原始檔
# cd /etc/yum.repos.d
# rm -f * #刪除當前所有yum原始檔
# gedit local.repo #加入如下內容
[Redhat6.9]
name=rhel6.9
baseurl=file:///yum
enabled=1
gpgcheck=0
1.4、安裝編譯所需工具包
# yum -y install gcc pam-devel zlib-devel
1.5關閉iptable和selinux(注意,必須關閉,否則升級後重啟作業系統後不能使用xftp和secureCRT)
service iptables stop #關閉防火牆
chkconfig iptables off #設定防火牆開機不啟動
chkconfig xinetd on #設定telnet服務開機啟動
getenforce
#檢視selinux狀態
setenforce 0
#設定selinux為關閉
為防止OpenSSH升級後透過遠端終端無法連線機器,建議將其關閉,方法如下:
vi /etc/selinux/config
將SELINUX=enforcing修改為SELINUX=disabled
2、正式升級
2.1、升級OpenSSL
官方升級文件:
A、備份當前openssl
# find / -name openssl
/usr/lib64/openssl
/usr/bin/openssl
/etc/pki/ca-trust/extracted/openssl
# mv /usr/lib64/openssl /usr/lib64/openssl.old
# mv /usr/bin/openssl /usr/bin/openssl.old
# mv /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old
如下兩個庫檔案必須先備份,因系統內部分工具(如yum、wget等)依賴此庫,而新版OpenSSL不包含這兩個庫
# cp /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.10.old
# cp /usr/lib64/libssl.so.10 /usr/lib64/libssl.so.10.old
B、解除安裝當前openssl
# rpm -qa | grep openssl
openssl-1.0.1e-42.el6.x86_64
# rpm -e --nodeps openssl-1.0.1e-42.el6.x86_64
# rpm -qa | grep openssl
或者直接執行此命令:rpm -qa |grep openssl|xargs -i rpm -e --nodeps
{}
C、解壓openssl_1.0.2k原始碼並編譯安裝
# tar -zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib #必須加上--shared,否則編譯時會找不到新安裝的openssl的庫而報錯
# make
# make test #必須執行這一步結果為pass才能繼續,否則即使安裝完成,ssh也無法使用
# make install
# openssl version -a #檢視是否升級成功
D、恢復共享庫
由於OpenSSL_1.0.2k不提供libcrypto.so.10和libssl.so.10這兩個庫,而yum、wget等工具又依賴此庫,因此需要將先前備份的這兩個庫進行恢復,其他的可視情況考慮是否恢復。(如果沒有安裝最新的zlib這個步驟可以跳過)
# mv /usr/lib64/libcrypto.so.10.old /usr/lib64/libcrypto.so.10
# mv /usr/lib64/libssl.so.10.old /usr/lib64/libssl.so.10
2.2、升級OpenSSH
官方升級文件:
A、備份當前openssh
# mv /etc/ssh /etc/ssh.old
B、解除安裝當前openssh
# rpm -qa | grep openssh
openssh-clients-5.3p1-111.el6.x86_64
openssh-server-5.3p1-111.el6.x86_64
openssh-5.3p1-111.el6.x86_64
openssh-askpass-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64
# rpm -qa | grep openssh
或者直接執行此命令:rpm -qa
|grep openssh|xargs -i rpm -e --nodeps {}
C、openssh安裝前環境配置
# install -v -m700 -d /var/lib/sshd
# chown -v root:sys /var/lib/sshd
# groupadd -g 50 sshd
# useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd
D、解壓openssh_7.4p1原始碼並編譯安裝
# tar -zxvf openssh-7.4p1.tar.gz
# cd openssh-7.4p1
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd
# make
# make install
E、openssh安裝後環境配置(本步驟目前看可以直接跳過,沒有影響)
# 在openssh編譯目錄執行如下命令
# install -v -m 755 contrib/ssh-copy-id /usr/bin
# install -v -m 644 contrib/ssh-copy-id.1 /usr/share/man/man1
# install -v -m 755 -d /usr/share/doc/openssh-7.4p1
# install -v -m 644 INSTALL LICENCE OVERVIEW README*
/usr/share/doc/openssh-7.4p1
# ssh -V #驗證是否升級成功
F、啟用OpenSSH服務
# 在openssh編譯目錄執行如下目錄
# mv /etc/init.d/sshd /etc/init.d/sshd.old
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# chmod +x /etc/init.d/sshd
備份配置檔案
# mv /etc/ssh/ssh_config /etc/ssh/ssh_config_old
# mv /etc/ssh/sshd_config /etc/ssh/sshd_config_old
# cp ssh_config /etc/ssh/ssh_config
# cp sshd_config /etc/ssh/sshd_config
修改配置檔案
# gedit /etc/ssh/sshd_config
加入以下內容
PermitRootLogin yes
設定和啟動sshd服務
# chkconfig --add sshd
# chkconfig sshd on
# chkconfig --list sshd
# service sshd restart
注意:如果升級操作一直是在ssh遠端會話中進行的,上述sshd服務重啟命令可能導致會話斷開並無法使用ssh再行登入(即ssh未能成功重啟),此時需要透過telnet登入再執行sshd服務重啟命令。
3、善後工作
新開啟遠端終端以ssh [ip]登入系統,確認一切正常升級成功後,只需關閉telnet服務以保證系統安全性即可。
# mv /etc/securetty.old /etc/securetty
# chkconfig xinetd off
# service xinetd stop
如有必要,可重新開啟防火牆
# service iptables start
# chkconfig iptables on
如需還原之前的ssh配置資訊,可直接刪除升級後的配置資訊,恢復備份。
# rm -rf /etc/ssh
# mv /etc/ssh.old /etc/ssh
結束
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/11954956/viewspace-2137912/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- redhat系統升級openssh到7.5Redhat
- 升級AIX作業系統AI作業系統
- Linux openssh升級8.0Linux
- Ctyun系統升級OpenSSH 9.3詳細教程
- 華為尤拉openEuler 20.03 (LTS-SP3)作業系統升級openssh9.7p1作業系統
- openssh 漏洞修復 openssl升級 OpenSSH_9.8p1麒麟系統
- Openssh-7.9p1升級+系統調優
- aix升級opensshAI
- Ubuntu升級opensshUbuntu
- Linux作業系統不同物件全面升級方法介紹(zt)Linux作業系統物件
- Wii將有一個可升級的Linux作業系統(轉)Linux作業系統
- Centos 7.4系統升級OpenSSH 8.4p1服務CentOS
- OpenSSH升級(從OpenSSH_7.4p1升級到OpenSSH_8.4p1) [操作指令碼]指令碼
- 原始碼升級SUSE openssh原始碼
- centos7 離線升級/線上升級作業系統核心CentOS作業系統
- 作業系統課程實踐報告作業系統
- linux 升級系統核心Linux
- Centos升級到openssh9.7CentOS
- linux系統升級指南(轉)Linux
- Linux作業系統執行級別介紹Linux作業系統
- Linux 作業系統Linux作業系統
- Linux作業系統Linux作業系統
- 【linux】Linux作業系統Linux作業系統
- 適用於openEuler系統升級openssh9.8p1和openssl3.3.1
- 運維初級實踐——Linux系統命令教程運維Linux
- CentOS6.9下升級預設的OpenSSH操作記錄(升級到OpenSSH_7.6p1)CentOS
- 中國首家!EasyStack 釋出企業級容器 Linux 作業系統Linux作業系統
- 遠端升級Linux系統(轉)Linux
- Linux作業系統首次捆綁系統級虛擬化軟體Linux作業系統
- 作業系統遷移難?Alibaba Cloud Linux 支援跨版本升級 | 龍蜥技術作業系統CloudLinux
- Linux作業系統概述Linux作業系統
- 作業系統與Linux作業系統Linux
- Centos7 升級openssh到最高版本CentOS
- 作業系統是什麼?Linux是什麼作業系統?作業系統Linux
- 實踐作業
- 《大話作業系統——做堅實的工程實踐派》(0)作業系統
- 《大話作業系統——做堅實的工程實踐派》(1)作業系統
- 《大話作業系統——做堅實的工程實踐派》(2)作業系統