CentOS环境下手动升级openssl、openssh

说明：
本文主要讲述将CentOS环境中，openssl从1.0.2k升级至3.0.20，openssh从7.4p1升级至10.3p1。

1. 前期部署准备及说明

1.1 相关产品下载地址

zlib下载地址：https://www.zlib.net/
openssl下载地址：https://openssl-library.org/source/
openssh下载地址：https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

1.2 相关路径规划

相关产品存放目录：/apps/scripts

mkdir -p /apps/scripts/

1.3 服务器基本信息

1.3.1 查看OS版本

cat /etc/os-release

1.3.2 查看OS架构

arch

1.3.3 当前ssl版本

openssl version

1.3.4 当前ssh版本

ssh -V

1.4 依赖安装

yum install -y perl perl-core gcc gcc-c++ make autoconf automake patch libtool pam-devel

1.5 产品下载

zlib版本：1.3.2

openssl版本：3.0.20

openssh版本：10.3sp1

1.6 相关产品上传

将相关产品上传至：/apps/scripts目录下

2. 升级相关操作

2.1 zlib安装

2.1.1 解压

tar -xf zlib-1.3.2.tar.gz -C /apps/

2.1.2 切换目录

cd /apps/zlib-1.3.2/

2.1.3 配置

./configure

2.1.4 编译

make

2.1.5 安装

make install

2.1.6 配置调整

cp zutil.h /usr/local/include/
cp zutil.c /usr/local/include/

2.2 openssl升级

2.2.1 解压

cd /apps/scripts/
tar -xf openssl-3.0.20.tar.gz -C /apps/

2.2.2 切换目录

cd /apps/openssl-3.0.20/

2.2.3 配置

./config --prefix=/usr/local/openssl

2.2.4 编译

make

2.2.5 安装

make install

2.2.6 相关调整

1. 备份原始openssl

   mv /usr/bin/openssl /usr/bin/openssl_bak

2. 复制新版本openssl到/usr/bin/目录

   cp /usr/local/openssl/bin/openssl /usr/bin/

3. 调整配置文件

   1.查看编译安装目录为：lib还是lib64

   ls /usr/local/openssl/

   显示结果如下：

   bin include lib64 share ssl

   显示为：lib64

   2.查看原始配置文件

   cat /etc/ld.so.conf

   显示内容如下：

   include ld.so.conf.d/*.conf

   3.配置文件调整

   echo '/usr/local/openssl/lib64/' >> /etc/ld.so.conf

   4.再次查看

   cat /etc/ld.so.conf

   显示内容如下：

   include ld.so.conf.d/*.conf
   /usr/local/openssl/lib64/

4. 更新配置文件

   ldconfig

2.2.7 验证

openssl version
# 已从：1.0.2k升级到3.0.20版本

2.3 openssh升级

2.3.1 解压

cd /apps/scripts/
tar -xf openssh-10.3p1.tar.gz -C /apps/

2.3.2 切换目录

cd /apps/openssl-3.0.20/

2.3.3 配置

./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/openssl --sysconfdir=/etc/ssh --with-pam --with-gssapi --with-rsa --with-rhosts-allowed --with-zlib --with-md5-passwords

2.3.4 编译

make

2.3.5 安装

make install

2.3.6 相关调整

1.部署版本验证

/usr/local/openssh/bin/ssh -V

2. 备份原始openssh

   mv /usr/sbin/sshd /usr/sbin/sshd_bak
   mv /usr/bin/ssh /usr/bin/ssh_bak
   mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen_bak

3. 复制新版本openssh相关目录

   cp -rp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
   cp -rp /usr/local/openssh/bin/ssh /usr/bin/ssh
   cp -rp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen

4. 重启sshd服务

   systemctl restart sshd

   重启时候报错，解决方法见4.常见问题章节

3. 升级后版本验证

3.1 升级后ssl版本

openssl version

3.2 升级后ssh版本

ssh -V

4.常见问题

4.1 升级openssh后，重启sshd服务报错

# 执行重启命令时候，新开一个命令窗口，同步查看相关日志
# 窗口1执行：
systemctl restart sshd

# 窗口2执行：
tail -f /var/log/messages
# 显示结果如下
# 报错重点关键字：Permissions 0640

报错详情如下：

解决方法：

# 删除旧证书
rm -f /etc/ssh/ssh_host_*

# 重新生成证书
/usr/bin/ssh-keygen -A

# 修改生成证书权限
chmod 600 /etc/ssh/ssh_host_*
chmod 644 /etc/ssh/*.pub

4.2 升级openssh后，除当前窗口，其他窗口无法再进行连接

切记：通过远程方式连接的shell会话，切勿关闭，关闭后无法再次连接
解决方法：

vim /etc/ssh/sshd_config

# 取消下述配置项前方的#号
Port 22
PermitRootLogin yes

详细配置如下：

Port 22
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTHPRIV
PermitRootLogin yes
AuthorizedKeysFile	.ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
UsePAM yes
X11Forwarding yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem	sftp	/usr/libexec/openssh/sftp-server

另，需注意配置文件：/etc/selinux/config下SELINUX参数，必须修改为：disabled。
参数为enforcing时，会产生一些比较怪异的问题