Linux:升级OpenSSL和OpenSSH

原因是现有版本存在安全漏洞,需要升级到新版本

原有版本和升级后的版本

bash 复制代码
OpenSSL 1.0.2k-fips  26 Jan 2017
->
OpenSSL 1.1.1w  11 Sep 2023


OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
->
OpenSSH_9.5p1, OpenSSL 1.1.1w  11 Sep 2023

目录

查看现有版本

bash 复制代码
# 查看系统版本
# cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)


# 查看OpenSSL版本
# openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017


# 查看OpenSSH版本
# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

安装 telnet

防止因卸载OpenSSH而导致无法登录主机

bash 复制代码
# 安装 telnet
yum -y install telnet telnet-server

# 启动 telnet
systemctl enable telnet.socket

systemctl is-enabled telnet.socket

systemctl start telnet.socket

# 关闭安全文件
mv /etc/security /etc/security.bak

确认openssh升级成功,连接无异常后卸载telnet服务

bash 复制代码
systemctl stop telnet.socket

systemctl disable telnet.socket

# 升级完毕后,开启安全文件
mv /etc/security.bak /etc/security

yum -y remove telnet telnet-server

安装OpenSSH依赖包

bash 复制代码
yum -y install gcc keyutils-libs rpm-build krb5-devel libcom_err-devel libselinux-devel pam-* openssl-devel pkgconfig vsftpd zlib*

下载安装包

https://www.openssl.org/source/old/

https://www.openssh.com/portable.html#downloads

安装OpenSSL

bash 复制代码
wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1w.tar.gz

tar -zxvf openssl-1.1.1w.tar.gz

cd openssl-1.1.1w

./config shared --prefix=/usr/local/openssl-1.1.1w

make && make install

# 检查安装情况
/usr/local/openssl-1.1.1w/bin/openssl version
OpenSSL 1.1.1w  11 Sep 2023

安装OpenSSH

bash 复制代码
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.5p1.tar.gz

tar -zxvf openssh-9.5p1.tar.gz

cd openssh-9.5p1

./configure --prefix=/usr/local/openssh-9.5p1 --with-ssl-dir=/usr/local/openssl-1.1.1w

make && make install

# 检查安装情况
/usr/local/openssh-9.5p1/sbin/sshd -V
OpenSSH_9.5p1, OpenSSL 1.1.1w  11 Sep 2023

修改配置(重要)

bash 复制代码
# /usr/local/openssh-9.5p1/etc/sshd_config
# 允许root以密码的方式登录
PermitRootLogin yes

开机自启

bash 复制代码
# /usr/lib/systemd/system/sshd9.service
[Unit]
Description=OpenSSH server daemon
After=network.target

[Service]
Type=simple
Environment=LD_LIBRARY_PATH=/usr/local/openssl-1.1.1w/lib
ExecStart=/usr/local/openssh-9.5p1/sbin/sshd -D -f /usr/local/openssh-9.5p1/etc/sshd_config
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

停止原sshd服务

bash 复制代码
systemctl stop sshd.service

systemctl disable sshd.service

备份sshd

bash 复制代码
mkdir /home/ssh-old-bak
mv /etc/ssh /home/ssh-old-bak/
mv /usr/sbin/sshd /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd-keygen.service /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd.service /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd@.service /home/ssh-old-bak/
mv /usr/lib/systemd/system/sshd.socket /home/ssh-old-bak/

启动新版本sshd9服务

bash 复制代码
systemctl daemon-reload
systemctl start sshd9.service
systemctl status sshd9.service
systemctl enable sshd9.service

问题和解决办法

问题1:openssl 查看version出现报错

bash 复制代码
# 执行查看版本的时候,提示 libssl.so.1.1 找不到
/usr/local/openssl-1.1.1w/bin/openssl version

/usr/local/openssl-1.1.1w/bin/openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

## 解决办法
ln -s /usr/local/openssl-1.1.1w/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/openssl-1.1.1w/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

参考文章

相关推荐
一位摩羯座DBA32 分钟前
Redhat&Centos挂载镜像
linux·运维·centos
学习3人组33 分钟前
CentOS配置网络
linux·网络·centos
计算机毕设定制辅导-无忧学长1 小时前
西门子 PLC 与 Modbus 集成:S7-1500 RTU/TCP 配置指南(一)
服务器·数据库·tcp/ip
weixin_307779131 小时前
Hive集群之间迁移的Linux Shell脚本
大数据·linux·hive·bash·迁移学习
漫步企鹅2 小时前
【蓝牙】Linux Qt4查看已经配对的蓝牙信息
linux·qt·蓝牙·配对
cui_win2 小时前
【网络】Linux 内核优化实战 - net.core.flow_limit_table_len
linux·运维·网络
梦在深巷、2 小时前
MySQL/MariaDB数据库主从复制之基于二进制日志的方式
linux·数据库·mysql·mariadb
风清再凯2 小时前
自动化工具ansible,以及playbook剧本
运维·自动化·ansible
深圳安锐科技有限公司2 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
猫头虎2 小时前
猫头虎 AI工具分享:一个网页抓取、结构化数据提取、网页爬取、浏览器自动化操作工具:Hyperbrowser MCP
运维·人工智能·gpt·开源·自动化·文心一言·ai编程