前言:安装或升级SSH和SSL有一定的危险系数,要保证设备除SSH要有其他连接方式。出现问题时要有救急通道。可以参考我的另一篇文章:
CentOS升级OpenSSH_9.3p2(RPM升级+源码升级)-CSDN博客
当前版本:
系统版本:CentOS Linux release 7.6.1810 (Core)
SSH版本:OpenSSH_7.4p1 升级至 OpenSSH_9.6p1(SHA256)
SSL版本:OpenSSL_1.0.2k-fips 升级至 OpenSSL-1.1.1k
一、安装OpenSSL
1、下载安装包,上传到服务器
https://artfiles.org/openssl.org/source/old/ (openssl-1.1.1k.tar.gz)
2、备份老版本SSL
shell> whereis openssl
shell> mv /usr/bin/openssl /usr/bin/openssl_1.0.2k
shell> mv /usr/lib64/openssl /usr/lib64/openssl_bak
shell> mv /usr/share/man/man1/openssl.1ssl.gz /usr/share/man/man1/openssl.1ssl.gz_bak
shell> mv /usr/include/openssl /usr/include/openssl.bak
注意:不要卸载系统自带的openssl或执行一些rm命令,卸载后会出现各种环境问题,甚至会无法远程登录到设备,包含ssh、telnet协议(非常危险)
3、编译安装SSL
shell> tar -zxvf openssl-1.1.1k.tar.gz -C /usr/src/ 解压路径自定义
shell> cd /usr/src/openssl-1.1.1k/
shell> yum install -y zlib-devel.x86_64 openssl-devel.x86_64 pam-devel.x86_64 perl-Test-Simple perl perl-CPAN.noarch gcc
shell> ./config --prefix=/usr/local/openssl && ./config -t
shell> make -j4
shell> make install
3、添加环境变量
shell> vim /etc/profile 文件后追加
# OpenSSL
export PATH=/usr/local/openssl/bin:$PATH
export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH
shell> ln -s /usr/local/openssl/include/openssl /usr/include/ 如果已生成,忽略
shell> openssl version
二、安装OpenSSH
1、下载安装包,上传到服务器
https://www.openssh.com/releasenotes.html (openssh-9.6p1.tar.gz)
或
https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
2、卸载老版本SSH
注意:危险操作,一定要安装好telnet。确保有其他方式能够连接到设备(选择性操作)
telnet安装可以参考开头的链接
shell> systemctl stop sshd.service
shell> cp /etc/pam.d/sshd /etc/pam.d/sshd_bak 该文件一定要备份,缺少该文件ssh登不上设备
shell> cp -r /etc/ssh /etc/ssh_7.4p1_bak
shell> rpm -qa | grep openssh
shell> rpm -e $(rpm -qa | grep openssh) --nodeps 卸载7.4p1版本
3、编译安装SSH
shell> tar -zxvf openssh-9.6p1.tar.gz -C /usr/src/ 解压路径自定义
shell> cd /usr/src/openssh-9.6p1/
shell> yum install -y zlib-devel.x86_64 openssl-devel.x86_64 pam-devel.x86_64 gcc 如果在安装SSL时已安装依赖包,这里可以忽略
shell> ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --with-openssl-include=/usr/local/openssl/include
shell> make -j4
shell> make install
看到以下信息暂时忽略
Permissions 0640 for '/etc/ssh/ssh_host_rsa_key' are too open.
Permissions 0640 for '/etc/ssh/ssh_host_ecdsa_key' are too open.
Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open.
make: [check-config] 错误 1 (忽略)
shell> cp /usr/src/openssh-9.6p1/contrib/redhat/sshd.init /etc/init.d/sshd
shell> vim /etc/ssh/sshd_config
shell> mv /etc/pam.d/sshd_bak /etc/pam.d/sshd 还原备份的pam文件
shell> cd /etc/ssh/
shell> chmod 600 ssh_host_rsa_key ssh_host_ecdsa_key ssh_host_ed25519_key 修改在安装时提示这三个文件权限太开放的问题
shell> /etc/init.d/sshd restart
启动时报错,执行systemctl status sshd.service查看错误信息
找不到 libcrypto.so.1.1 这个文件
shell> ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/
在重新执行:/etc/init.d/sshd restart
shell> systemctl enable sshd.service && /sbin/chkconfig sshd on && chkconfig --add sshd && systemctl restart sshd.service 一定要加入开机自启
shell> ssh -V