升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结

一条代码鱼2024-06-05 17:27

近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的openssh和openssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此记录下来,供有需要的人参考。

本次目标是升级 openssh9.7p1 版本,升级 openssl1.1.1h 版本。环境为 kylin-SP2 服务器版操作系统。

一、下载源码并编译安装。

1、下载源码。

openssh下载地址:https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

openssl下载地址:https://github.com/openssl/openssl/releases?page=2

下载好源码上传到服务器上。

2、编译安装(安装问题请参考后边说明)。

解压openssl源码包并编译安装。

bash 复制代码 
tar zxf openssl-1.1.1h.tar.gz
cd openssl-1.1.1h
./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
make && make install

解压openssh源码包并编译安装。

bash 复制代码 
tar zxf openssh-9.7p1.tar.gz
cd openssh-9.7p1
./configure --prefix=/usr --with-ssl-dir=/usr/local/ssl --sysconfdir=/etc/ssh --with-pam --with-gssapi --with-rsa --with-rhosts-allowed --with-zlib --with-md5-passwords
make && make install

查看openssh和openssl版本号命令:

bash 复制代码 
ssh -V
sshd -v
openssl version

二、常见问题解答

(1)提示缺少 pam 库。

解决方法:

bash 复制代码 
yum install -y pam-devel

(2)提示当前系统的openssl版本和库文件对应不上。

解决方法1: 一般openssl会涉及到两个库文件,分别为 libcrypto.so.1.1 和 libssl.so.1.1 ,需要检查两个软链接所引用的实际文件的版本号是否与 openssl version 所查看到的版本号相匹配。

解决方法2: 在编译时增加参数:--without-openssl-header-check

(3)升级成功之后使用命令重启ssh,一直处于Active: activating(auto-restart)状态,sshd.service前面显示灰色,不正常。看着并不影响登录使用。

原因分析: 出现报错:sshd.service holdoff time over, scheduling restart. 是因为ssh启动后,没有给systemd发消息,systemd就一直等,超时后就重启ssh,导致ssh频繁挂起,但未启动成功。

解决方法: 修改源码,在 openssh-9.7p1 目录下找到 sshd.c 文件,找到调用 server_accept_loop 函数的地方,在上边增加一行 sd_notify(0, "READY=1"); 然后在源文件开头添加引用头文件 #include <systemd/sd-daemon.h>
完成后还需要确保系统中存在 systemd-devel 软件包才可,然后才能进行安装。安装命令为:yum install systemd-devel

在执行完configure之后会生成预编译文件Makefile,找到变量 LIBS,增加 -lsystemd 最后进行make和make install即可。

(4)提示不支持的参数:GSSAPIAuthentication、GSSAPICleanupCredentials、RSAAuthentication、RhostsRSAAuthentication。


解决方法: 在/etc/ssh/sshd_config文件中注释掉上边不支持的参数即可。

bash 复制代码 
sed -i 's/^GSSAPIAuthentication/#&/' /etc/ssh/sshd_config
sed -i 's/^GSSAPICleanupCredentials/#&/' /etc/ssh/sshd_config
sed -i 's/^RSAAuthentication/#&/' /etc/ssh/sshd_config
sed -i 's/^RhostsRSAAuthentication/#&/' /etc/ssh/sshd_config

(5)使用scp命令时提示bad配置参数:GSSAPIKexAlgorithms。

解决方法: 在/etc/crypto-policies/back-ends/openssh.config文件中注释掉上边的配置参数即可。

bash 复制代码 
sed -i 's/^GSSAPIKexAlgorithms/#&/' /etc/crypto-policies/back-ends/openssh.config

(6)使用ssh命令提示不支持的参数:GSSAPIAuthentication。


解决方法: 在/etc/ssh/ssh_config.d/05-redhat.conf文件中注释掉上边不支持的参数即可。

bash 复制代码 
sed -i 's/GSSAPIAuthentication/#&/' /etc/ssh/ssh_config.d/05-redhat.conf
相关推荐
紫金修道1 分钟前
【Linux】在Arm服务器源码编译onnxruntime-gpu的whl
linux·服务器·arm开发
xq5148632 小时前
Linux系统下安装mongodb
linux·mongodb
柒七爱吃麻辣烫2 小时前
在Linux中安装JDK并且搭建Java环境
java·linux·开发语言
孤寂大仙v2 小时前
【Linux笔记】——进程信号的产生
linux·服务器·笔记
深海蜗牛3 小时前
Jenkins linux安装
linux·jenkins
愚戏师3 小时前
Linux复习笔记(三) 网络服务配置(web)
linux·运维·笔记
JANYI20183 小时前
嵌入式MCU和Linux开发哪个好?
linux·单片机·嵌入式硬件
熊大如如3 小时前
Java NIO 文件处理接口
java·linux·nio
晚秋大魔王4 小时前
OpenHarmony 开源鸿蒙南向开发——linux下使用make交叉编译第三方库——nettle库
linux·开源·harmonyos
农民小飞侠4 小时前
ubuntu 24.04 error: cannot uninstall blinker 1.7.0, record file not found. hint
linux·运维·ubuntu
热门推荐
01【分布式】Hadoop完全分布式的搭建(零基础)02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07DeepSeek各版本说明与优缺点分析08苍穹外卖面试总结09西电B测-计算机网络综合实验(含验收问题)10组基轨迹建模 GBTM的介绍与实现(Stata 或 R)