centos 7.6上openssh 7.4p1升级到 openssh 9.9p1 完整步骤

最新推荐文章于 2025-05-23 16:45:56 发布
最新推荐文章于 2025-05-23 16:45:56 发布
阅读量1.7k 收藏 33
点赞数 19
CC 4.0 BY-SA版权
分类专栏: LINUX 文章标签: centos linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cqsztech/article/details/143993868

前两天安全扫描,列出一堆SSH 7.4版本漏洞,要求升级到9.7以上。

看了一下,操作系统为 centos 7.6, openssh 为 7.4p1 。

网上OPENSSH 7.4升级到7.8的比较多,7.8是2018年出来的,9.7是 2024年03月11日出来的,能否直接升级到9.7呢,而且目前OPENSSH最新版本为9.9,能否直接升级到9.9呢?

答案是肯定的,centos 7.6上面的openssh 7.4可以直接升级到openssh 9.9,与操作系统版本没有强依赖性。

下面是具体步骤:

目录

1.安装telnet-server

2.下载OPENSSH 9.9P1介质

3.检查当前系统版本情况

4.下载 OPENSSL 1.1.1W

5.安装 openssl 1.1.1w

6.安装ssh 9.9p1

7.更换 ssh 9.9

8.验证SSH9.9

9.卸载telnet-server

10. 保持联系



1.安装telnet-server


   考虑到ssh升级失败,无法操作,因此,事先先安装telnet-server
   使用OS 的安装介质即可安装 telnet-server
    yum install telnet-server
    systemctl enable telnet-server
    systemctl start telnet-server

    验证root用户无法登录。

    tail -f /var/log/secure
    。。。
    Nov 21 17:37:26 dbs01 login: pam_securetty(remote:auth): access denied: tty 'pts/1' is not secure !
    Nov 21 17:37:34 dbs01 login: pam_succeed_if(remote:auth): requirement "uid >= 1000" not met by user "root"
    Nov 21 17:37:35 dbs01 login: FAILED LOGIN 1 FROM ::ffff:172.17.6.240 FOR root, Authentication failure
    。。。
    把 pts/1 加入 /etc/securetty 即可
    echo pts/1 >> /etc/securetty

    也可以把  /etc/securetty  更名也可以达到同样效果


2.下载OPENSSH 9.9P1介质


   https://mirrors.aliyun.com/pub/O ... penssh-9.9p1.tar.gz


3.检查当前系统版本情况


   [root@dbs01 setup]# ssh -V
   OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017


4.下载 OPENSSL 1.1.1W


    阅读 openssh 9.9p1的文档,提示 openssl 需要是 1.1.1以上版本,当前系统的OPENSSL 的版本为1.0.2,因此需要先升级 openssl 的版本。
    https://github.com/openssl/opens ... enssl-1.1.1w.tar.gz


5.安装 openssl 1.1.1w


   [root@dbs01 setup]# tar -xvf openssl-1.1.1w.tar.gz
   [root@dbs01 setup] cd openssl-1.1.1w
   [root@dbs01 openssl-1.1.1w]# ./config --prefix=/usr/local/openssl
   [root@dbs01 openssl-1.1.1w]# make && make install

   --备份原文件
   mv /usr/bin/openssl /usr/bin/openssl.bak
   ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
   echo "/usr/local/openssl/lib" >> /etc/ld.so.conf


   --设置生效
   ldconfig -v

   --查看版本
   openssl version
   [root@dbs01 openssl-1.1.1w]# openssl version
   OpenSSL 1.1.1w  11 Sep 2023



6.安装ssh 9.9p1



   tar -xzvf openssh-9.9p1.tar.gz
   cd openssh-9.9p1

   ./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/openssl --sysconfdir=/etc/ssh  --with-zlib

   make -j 16 && make install

   有报错信息:
   ...
   @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
make: [check-config] Error 1 (ignored)
     。。。
    通过 修改权限解决
     chmod -R 600 /etc/ssh

     再去执行编译安装,不再报错。


7.更换 ssh 9.9


--备份文件
mv /usr/sbin/sshd /usr/sbin/sshd.bak
mv /usr/bin/ssh /usr/bin/ssh.bak
mv /usr/bin/ssh-keygen /usr/bin/sshk-keygen.bak

cp -rf /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp -rf /usr/local/openssh/bin/ssh /usr/bin/ssh
cp -rf /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen

--修改参数
PermitRootLogin yes
PubkeyAuthentication yes
PasswordAuthentication yes

--去掉几个选项,通过注释掉配置文件中对应的选项即可
/etc/ssh/sshd_config line 79: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 80: Unsupported option GSSAPICleanupCredentials
/etc/ssh/sshd_config line 96: Unsupported option UsePAM

--重启ssh
systemctl restart sshd

 


8.验证SSH9.9


ssh -V

[root@dbs01 openssh-9.9p1]# ssh -V
OpenSSH_9.9p1, OpenSSL 1.1.1w  11 Sep 2023
[root@dbs01 openssh-9.9p1]#


9.卸载telnet-server


  telnet 是明文传输,不安全,最后卸载掉
   systemctl disble telnet-server
   systemctl stop telnet-server
   yum remove telnet-server

10. 保持联系

----------------------------------------------------------------------
如果你对数据库技术感兴趣,我们还可以在微信群:水煮数据库 进行交流,主要交流日常运维中用到的数据库相关问题,包含但不限于:ORACLE,PG,MYSQL,SQLSERVER,OB,TIDB,达梦,TDSQL,OPENGAUSS,人大金仓,GBASE等等,

加我微信吧:zq24803366,备注:水煮数据库,        我拉你入群。
----------------------------------------------------------------------

Centos7升级openssh9.9
2019想做自己的游戏的人加群95303036
10-17 2020
openssh9.9 是2024.9.20出的最新版ssh。因为客户扫描出一大堆centos7的漏洞,全是这个openssh的,好多补丁,所以索性升级到最新版。
CentOS 7.6 升级 OpenSSH9.9 版本并启用 Root 登录
wal78748668的博客
01-11 683
通过本文,你将了解如何切换到阿里源、安装所需的依赖包、编译并安装 OpenSSH 和 OpenSSL,以及如何配置 SSH 以启用 `root` 登录。- `PasswordAuthentication yes`:允许密码认证,或者可以设置为 `no` 仅使用 SSH 密钥认证。安装完成后,我们需要配置 OpenSSH,以允许 `root` 登录并启用其他所需功能。如果启用了密码认证,系统会提示你输入密码。- `PermitRootLogin yes`:允许 `root` 登录。
CentOS7 Openssh7.4升级9.9版本
2401_89626409的博客
12-11 1437
OpenSSH 9.9 对 OpenSSL 的版本有一定的要求。根据官方文档,OpenSSH 9.9 通常会支持 OpenSSL 1.1 和 3.x 版本。
CentOS 7.6 升级 Openssl 及 Openssh 方法文档
最新发布
m0_73774439的博客
05-23 954
mv perl perl.old #把原来的。临时关闭安全登录,否则无法进行远程。服务开启外网,安装依赖包需要使用。有防火墙记得关闭防火墙,并关闭。服务升级失败,远程连不上服务器。做一个软链接,使用新的。升级完成后需要改回来。远程登录,是为了防止。
centos 升级 openssh9.9sp1
luo805914196的博客
10-15 913
【代码】centos 升级 openssh9.9sp1
centos7 升级openssh9.9的rpm包
10-17
openssh9.9 是2024.9.20出的最新版ssh。因为客户扫描出一大堆centos7的漏洞,全是这个openssh的,好多补丁,所以索性升级到最新版。 使用方法: mkdir openssh9 mv openssh9.9.tar.gz openssh9 cd openssh9 tar xfz openssh9.9.tar.gz rpm -ivh --nodeps --force openssh-9.9p1-1.el7.x86_64.rpm rpm -ivh --nodeps --force openssh9.9.tar.gz rpm -ivh --nodeps --force openssh-clients-9.9p1-1.el7.x86_64.rpm rpm -ivh --nodeps --force openssh-debuginfo-9.9p1-1.el7.x86_64.rpm rpm -ivh --nodeps --force openssh-server-9.9p1-1.el7.x86_64.rpm 居然放不下,搜索我的博客吧 chmod 60
Centos openssh7.4p1升级9.3p1的安全操作
ericyee的博客
06-21 339
centos7系列安全漏扫发现ssh漏洞升级
史上最全离线更新centos67系统,将openssh更新到9.3p1步骤!!!(相关源码包以及依赖包都有)
06-30
centos67相关gcc的依赖包以及安装ssh相关依赖的源码包,有gcc-4.8.5-44.el7.x86_64.rpm,glibc-devel-2.17-317.el7.x86_64.rpm,pam-1.1.1-22.el6.x86_64.rpm,pam-...openssh-9.3p1.tar.gz等安装包,都包括在里面。
OpenSSH7.4升级9.8的过程 亲测--图文详解
冰恋云的专栏
09-20 1887
编译 执行./config --prefix=/usr/local/openssl --shared 生成MakeFile文件。解压 tar xvf openssh-9.8p1.tar.gz。#查看ssh版本是否升级成功,可以查看到已经是9.5版本了。使修改后的/etc/ld.so.conf生效。#将编译安装的新配置文件 拷贝到原路径下。openssh 我下载的是9.8的版本。#路径写入etc/ld.so.conf。9.创建新的openssl软链接。查看openssl版本。#查看sshd服务状态。
CentOS 7 升级 OpenSSH 9.6 (官方简单步骤)
xiangyong_的博客
09-06 3809
本次编译的rpm包可以在这里下载另外需要关注:openssl 版本低于1.1.1导致 openssh 编译时自动加上 --without-openssl,使用sshd -V也显示without OpenSSL,下篇博客解决这个问题。
OpenSSH通过RPM升级9.6
01-19
标题 "OpenSSH通过RPM升级9.6" 指的是在Linux系统中,使用RPM(Red Hat Package Manager)软件包管理器将现有的OpenSSH版本升级到最新的9.6版本。OpenSSH是一个用于在不同主机之间安全地进行网络连接的开源软件,...
centos 升级ssh到openssh7.6
03-02
centos 升级ssh到openssh7.6以及部署和遇到问题的解决方法
CentOS升级默认的OpenSSH操作记录(升级OpenSSH_7.6p1
08-14
CentOS升级默认的OpenSSH操作记录(升级OpenSSH_7.6p1
centos7.6 openssh升级
wuxingge的博客
01-25 736
备份添加动态链接库,并生效。
Centos7.6系统升级openssh
孤鹰的博客
07-25 877
首先,我需要强调,尽管我会提供基本的升级步骤,但在操作前,你需要确保已经创建了所有重要数据和配置的备份。升级过程中如果出现任何错误,可能会导致数据丢失。这是你需要做好的准备工作。接下来,我们可以按照以下步骤操作:1. **准备工作**:首先需要获取 root 权限,因为安装和升级系统软件需要 root 权限。在命令行中输入以下命令:```su```或者如果你在使用支持sudo的系统,你可以使用:```sudo su```输入你的密码以获取root权限。
centos7.6 升级openssh openssl
weixin_30339457的博客
09-09 818
centos7.3和centos7.6升级完毕测试登录ssh以及重启后登录ssh均无问题。 前期请自行配置好yum源(如果不会请百度) 整个过程不需要卸载原先的openssl包和openssh的rpm包。不影响我们的操作 本文的环境都是系统自带的openssh,没有经历过手动编译安装方式。如果之前有手动编译安装过openssh,请参照本文自行测试是否能成功。 如果严格参照本文操作...
Centos7.6升级OpenSSH9.8p1
JovaZou的成长之路
07-23 1352
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。目前有一台服务器使用了OpenSSH 7.4p1,但该版本的OpenSSH存在OpenSSH代码问题漏洞(CVE-2023-38408)。OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。
OpenSSH_7.4p1升级OpenSSH_9.8p1
yyongwh的博客
12-30 799
20247 月,互联网公开披露了一个 OpenSSH 的远程代码执行漏洞(CVE-2024-6387), 8.5p1
Contos7.6升级openssh8.8
qq_42786434的博客
01-12 686
open ssh离线升级
OpenSSH升级9.9
04-01
<think>好的,用户想了解如何将OpenSSH升级9.9版本。首先,我需要回忆之前整理的引用内容。根据引用[1],CentOS 7.6升级OpenSSH 9.9需要切换阿里源、安装依赖、编译安装,还有配置root登录。引用[2]提到必须先在9.6版本的基础上安装编译环境,否则会失败。而引用[3]给出了具体的步骤,包括安装依赖、备份、编译安装、配置和验证。 用户可能使用CentOS 7.6,所以步骤要针对这个系统。首先,要确保他们备份了重要数据,避免升级失败导致的问题。然后,替换阿里源是必要的,因为默认源可能没有最新依赖包。安装依赖包的时候,需要包括开发工具和openssl-devel等,这些在引用[1]和[3]都有提到。 接下来,下载openssh 9.9的源码包,解压后进入目录。编译安装的步骤需要指定openssl的路径,这里要注意,如果用户没有正确安装openssl或者路径不对,会导致编译失败。引用[2]特别强调编译环境的问题,所以必须确保之前的依赖已经安装完成。 安装完成后,替换旧的ssh文件,这里可能需要停止sshd服务,并备份原有配置,如引用[3]中的步骤。然后检查版本,确认升级是否成功。最后,配置允许root登录,修改sshd_config文件,并重启服务。 用户可能还会关心如何回滚,或者升级失败怎么办,所以需要提醒备份和快照。此外,防火墙和SELinux的设置也可能影响ssh连接,需要检查这些部分。可能的问题还有依赖包缺失,导致编译错误,这时候要确保所有开发工具都安装好了。 总结下来,步骤大致是:准备环境,安装依赖,下载源码,编译安装,替换配置,验证版本,配置root登录。需要按照顺序一步步来,避免遗漏关键步骤。同时,引用中的注意事项,比如编译环境和openssl版本,必须严格遵守,否则容易失败。</think>### OpenSSH 9.9 升级步骤详解 #### 一、准备工作 1. **系统环境要求** - 操作系统:CentOS 7.6(建议先更新系统补丁) - 当前OpenSSH版本:7.4p1(通过`ssh -V`验证)[^3] - **必须安装编译工具链**(如未安装,会导致编译失败)[^2] 2. **备份关键数据** ```bash cp -r /etc/ssh /etc/ssh_backup # 备份SSH配置文件 systemctl stop sshd # 停止SSH服务 ``` 3. **切换阿里源加速依赖下载** ```bash mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo yum clean all && yum makecache ``` #### 二、安装依赖环境 ```bash yum groupinstall "Development Tools" -y yum install openssl-devel pam-devel zlib-devel wget -y ``` #### 三、编译安装OpenSSH 9.9 1. **下载源码包** ```bash wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p1.tar.gz tar -zxvf openssh-9.9p1.tar.gz && cd openssh-9.9p1 ``` 2. **配置编译参数** ```bash ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl ``` 3. **编译与安装** ```bash make && make install ``` #### 四、配置系统服务 1. **替换旧版本文件** ```bash cp -p contrib/redhat/sshd.init /etc/init.d/sshd chmod +x /etc/init.d/sshd ``` 2. **启用Root登录(关键安全配置)** ```bash sed -i &#39;s/#PermitRootLogin prohibit-password/PermitRootLogin yes/&#39; /etc/ssh/sshd_config systemctl restart sshd ``` #### 五、验证升级结果 ```bash ssh -V # 应显示:OpenSSH_9.9p1, OpenSSL 1.1.1w ``` #### 六、附加注意事项 1. **Telnet服务卸载建议** ```bash yum remove telnet-server -y # 升级完成后建议禁用非加密协议 ``` 2. **失败回滚方案** - 恢复`/etc/ssh_backup`目录 - 使用`yum downgrade openssh`还原旧版本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值