Kylin Server 系统离线升级 openssh

已于 2025-04-12 11:52:47 修改
阅读量879 收藏 21
点赞数 11
分类专栏: linux 文章标签: kylin 大数据
于 2025-04-09 10:26:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_58805648/article/details/147086970
版权

文章目录

Kylin Server 系统离线升级 openssh

一、准备工作

1. 获取离线安装包

在可联网的机器上下载以下文件并传输至离线环境(如U盘或内部服务器):

  • OpenSSH源码包:
    openssh-9.8p1.tar.gz
  • 依赖库源码包(若需要更新):
  • 编译工具链(根据系统类型选择):
    • CentOS/RHEL: Development Tools 组的RPM包(含gcc、make等)。
    • Ubuntu/Debian: build-essential 的DEB包。
2. 上传文件至离线服务器

将下载的源码包和依赖工具通过物理介质或内部网络传输到目标服务器,存放至目录(如 /opt/offline_pkgs)。

二、安装编译环境

1. 安装编译工具链

  • 安装Telnet作为备用连接
    为避免升级过程中因SSH中断导致无法远程连接,需先安装并配置Telnet服务:

    yum install telnet-server telnet -y
systemctl enable telnet.socket
systemctl start telnet.socket
firewall-cmd --permanent --add-port=23/tcp  # 开放防火墙端口,如已关闭防火墙请忽略此步骤。
firewall-cmd --reload           # 如已关闭防火墙请忽略此步骤。
echo 'pts/0' >> /etc/securetty  # 允许root通过Telnet登录

useradd yunxin  # 创建普通用户来telnet 登录再 su - root
passwd yunxin   # 修改 agan 密码
Changing password for user agan.
New password:      # 设置密码
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:     # 再次确认密码
passwd: all authentication tokens updated successfully.  # 看到 successfully 表示设置密码成功

  • CentOS/RHEL(使用本地YUM仓库或RPM包):

    rpm -ivh /opt/offline_pkgs/*.rpm   # 手动安装所有工具链RPM包

  • Ubuntu/Debian(使用本地APT仓库或DEB包):

    dpkg -i /opt/offline_pkgs/*.deb    # 手动安装所有工具链DEB包
2. 安装基础依赖库

解压并编译依赖库(如OpenSSL、zlib):

# 安装OpenSSL 3.4.0
tar -zxvf /opt/offline_pkgs/openssl-3.4.0.tar.gz -C /usr/local/src/
cd /usr/local/src/openssl-3.4.0
./config --prefix=/usr/local/openssl shared zlib
make && make install

# 更新系统库链接
echo "/usr/local/openssl/lib64" >> /etc/ld.so.conf.d/openssl.conf
ldconfig -v

# 安装zlib
tar -zxvf /opt/offline_pkgs/zlib-1.3.1.tar.gz -C /usr/local/src/
cd /usr/local/src/zlib-1.3.1
./configure --prefix=/usr/local/zlib
make && make install

三、升级OpenSSH

1. 备份原有配置
cp -r /etc/ssh /root/ssh_backup    # 备份配置目录
cp /etc/pam.d/sshd /root/sshd_pam.backup  # 备份PAM配置
2. 编译安装OpenSSH 9.8p1
tar -zxvf /opt/offline_pkgs/openssh-9.8p1.tar.gz -C /usr/local/src/
cd /usr/local/src/openssh-9.8p1
./configure \
  --prefix=/usr \
  --sysconfdir=/etc/ssh \
  --with-ssl-dir=/usr/local/openssl \
  --with-zlib=/usr/local/zlib \
  --with-pam
make && make install
3. 处理安装冲突

  • 覆盖旧版本文件:

    cp -f /usr/local/src/openssh-9.8p1/sshd /usr/sbin/sshd
cp -f /usr/local/src/openssh-9.8p1/ssh /usr/bin/ssh
4. 修复权限和SELinux策略
chmod 600 /etc/ssh/sshd_config
chown root:root /etc/ssh/sshd_config
restorecon -Rv /etc/ssh /usr/sbin/sshd  # SELinux环境下修复标签,SELinux 关闭可忽略此步骤。

四、启动服务与验证

1. 重启SSH服务
systemctl daemon-reload
systemctl restart sshd
systemctl status sshd  # 确认服务状态为active
2. 验证版本与漏洞修复
ssh -V  # 应输出:OpenSSH_9.8p1
3. 测试远程连接

从另一台机器测试SSH连接:

ssh -p 22 user@目标服务器IP

五、故障处理(若启动失败)

1. 查看日志定位问题
journalctl -u sshd | tail -n 50   # 检查错误日志
sshd -t                          # 验证配置文件语法
2. 常见问题修复

  • 依赖库缺失:
    检查 ldd /usr/sbin/sshd,确保所有库路径正确。

  • 目录权限问题:

    chmod 711 /var/empty/sshd
chown root:root /var/empty/sshd

  • SELinux拦截:
    临时测试:setenforce 0,若有效则生成策略:

    audit2allow -a -M sshd_fix
semodule -i sshd_fix.pp

  • make 编译时报错

# 编译报错信息
/etc/ssh/sshd_config line 79: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 80: Unsupported option GSSAPICleanupCredentials
/etc/ssh/sshd_config line 96: Unsupported option UsePAM
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0640 for '/etc/ssh/ssh_host_rsa_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_rsa_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_rsa_key
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0640 for '/etc/ssh/ssh_host_ecdsa_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ecdsa_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ecdsa_key
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Unable to load host key "/etc/ssh/ssh_host_ed25519_key": bad permissions
Unable to load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
make: [check-config] Error 1 (ignored)

# 解决方案
vi  /etc/ssh/sshd_config # line 79: Unsupported option GSSAPIAuthentication  # 注释掉 79行
vi  /etc/ssh/sshd_config # line 80: Unsupported option GSSAPICleanupCredentials    # 注释掉 80行
vi  /etc/ssh/sshd_config # line 96: Unsupported option UsePAM   # 注释掉 96行
# 添加权限
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

六、回滚方案(可选)

若升级失败,还原备份并重装旧版本:

cp -r /root/ssh_backup/* /etc/ssh/
yum reinstall openssh-server  # CentOS/RHEL
apt-get install --reinstall openssh-server  # Ubuntu/Debian

注意事项

  1. 防火墙规则:确保SSH端口(默认22)在防火墙中开放。
  2. 兼容性测试:升级后验证与现有自动化工具(如Ansible)的兼容性。
  3. 离线包管理:建议提前构建内部YUM/APT仓库以简化依赖安装。

rpm离线包下载到本地方法

一:yumdownloader

如果只想通过 yum 下载软件的软件包,但是不需要进行安装的话,可以使用 yumdownloader 命令; yumdownloader 命令在软件包 yum-utils 里面。

yum install yum-utils -y

常用参数说明:

  • --destdir 指定下载的软件包存放路径
  • --resolve 解决依赖关系并下载所需的包

示例:

yumdownloader --destdir=/opt --resolve tomcat

二:yum --downloadonly

yum命令的参数有很多,其中就有只是下载而不需要安装的命令,并且也会自动解决依赖;通常和 --downloaddir 参数一起使用。

示例:

yum install --downloadonly --downloaddir=/opt  tomcat

yum reinstall --downloadonly --downloaddir=/opt  tomcat

说明:如果该服务器已经安装了需要下载的软件包,那么使用 install下载就不行,可以使用reinstall下载。

如果提示没有–downloadonly选项则需要安装yum-plugin-downloadonly软件包。

yum install yum-plugin-downloadonly

三:reposync

该命令更加强大,可以将远端yum仓库里面的包全部下载到本地。 该命令也是来自与 yum-utils 里面。

yum install yum-utils -y

常用参数说明:

  • -r 指定已经本地已经配置的 yum 仓库的 repo源的名称
  • -p 指定下载的路径

示例:

reposync -r epel -p /opt/local_epel
gin-downloadonly

三:reposync

该命令更加强大,可以将远端yum仓库里面的包全部下载到本地。 该命令也是来自与 yum-utils 里面。

yum install yum-utils -y

常用参数说明:

  • -r 指定已经本地已经配置的 yum 仓库的 repo源的名称
  • -p 指定下载的路径

示例:

reposync -r epel -p /opt/local_epel
openssh离线升级
灬紫荆灬
11-03 1781
测试环境:CentOS Linux release 7.9.2009 (Core) 升级openssh版本:OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 1、升级openssh版本 一般线上用的主机的ssh版本都还比较低;线上的主机版本还处于OpenSSH_7.4p1。经过以上漏洞测试此版本存在命令注入漏洞,下边升级OpenSSH_8.7p1 软件包详见附件: openssh-8.7p1.tar.gz openssl-1.1.1h.tar.gz gc
linux 离线升级openssh服务
baidu_28289725的博客
05-31 597
openssh服务依赖openssl服务,需要先升级openssl。
国产操作系统 麒麟服务器v10离线升级 openssh9.8p1
记录学习的过程
02-13 1436
配置文件允许root远程,允许密码认证,允许公钥认证。#让系统能够找到并加载 OpenSSL 库。#执行前,请确认sshd_config路径。#开机自启并立即运行ssh服务。#允许4个核心编译,速度快。#检查配置并设置安装路径。#更新系统服务和配置文件。
离线升级OpenSSH到最新版
最新发布
qq_27462023的博客
04-17 707
作用:启用PAM支持。configure脚本可能自动检测系统是否安装了PAM开发包,如果已安装,默认启用,否则禁用。默认值:–sysconfdir=$prefix/etc(即 /usr/local/openssh/etc,因为 prefix 被设置为 /usr/local/openssh)。这取决于用户是否需要使用hosts.allow/deny来控制访问,默认可能不启用,因此如果需要此功能,需显式指定。OpenSSH可能默认启用,如果zlib已安装,因此可能不需要显式指定,除非需要指定路径或确保启用。
openssh离线升级安装
qq_52544423的博客
09-26 1062
root@ openssl-1.1.1v]# yum install perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker //安装perl依赖。[root@ openssl-1.1.1v]# ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl //配置软连接。[root@~]# rm -rf /etc/ssh/* //删除原SSH文件。修改/etc/ssh/sshd_config。
离线--升级Openssh9.3p1(附脚本)
m0_60615714的博客
05-18 2438
离线升级openssh9.3;openssh-9.3p下载;使用脚本升级openssh9.3;提示ssh-copy-id无该命令
国产麒麟操作系统离线一键升级openssh版本以及相关文件
10-15
标题中提到的“国产麒麟操作系统离线一键升级openssh版本以及相关文件”揭示了该文件内容的一个核心功能,即针对国产麒麟操作系统提供了一个离线升级openssh工具的方案。同时,该方案也可以支持到centos操作系统,...
政务云linux(中科麒麟Kylin V10)系统升级Openssh9.8步骤和软件打包
09-14
政务云linux(中科麒麟Kylin V10)系统升级Openssh9.8步骤和软件打包 包含软件和安装文档 因为是源码方式安装,只要是系统和版本能对应上,无论x86_64还是arm64架构安装步骤是一样的哦!
openssh离线升级8.8
03-08
openssh离线升级8.8指南 openssh是ssh协议的开源实现,广泛应用于Linux、Unix和Windows平台。随着技术的发展,openssh的版本也在不断更新,新的版本带来了新的功能和改进的安全性。本文将指导用户如何离线升级...
麒麟Linux升级openssh-9.7p1脚本
03-21
解压后上传到服务器 进入openssh目录 修改脚本权限 chmod 777 update_ssh.sh ...Operating System:Kylin Linux Advanced Server V10 Kernel: Linux 4.19.90-52.22.v2207.ky10.x86_64 Architecture: x86-64
openssh升级.zip 离线升级脚本
09-11
把脚本和压缩包上传到centos系统任意目录,给脚本添加可执行权限,执行即可完成升级,需要挂载光盘镜像,并把镜像作为yum源,详细可参考word手册。 另外,由于升级的第一步是卸载opessh,所以安装过程切勿关闭终端,建议多开几个终端连接升级的服务器。一旦卸载openssh,新的ssh连接将无法建立,已存在连接,可继续使用。 此方法适用于服务器无法连接互联网时的离线升级
离线升级openssh安装包和步骤
03-08
离线升级openssh安装包和步骤,里面包含centos7和centos6所需要的离线安装包
OpenSSH离线升级到最新(8.6)所依赖的安装包
08-11
llinux离线升级OpenSSH时,所依赖的安装包,亲测可以升级成功。 具体的升级方法可以参考如下: Linux环境 OpenSSH升级8.4&Telnet安装&8.6:https://blog.youkuaiyun.com/qq_35911309/article/details/109243172 OpenSSH离线升级,用户枚举漏洞(CVE-2018-15473)修复,所有依赖包离线升级:https://blog.youkuaiyun.com/zhangkexin_z/article/details/107955624
离线升级openssh升级目标版本openssh 7.8
12-02
1、资源包中包含各个依赖包 2、资源包上传fix_bug.sh用来一件安装依赖并有使用的uscase
openssh-9.5p1-kylin-v10-sp3.tgz
11-16
OpenSSH 9.5p1在银河麒麟操作系统上的应用与安全更新》 OpenSSH,全称为Open Source Secure Shell,是互联网上广泛使用的安全通信协议,用于在不同系统之间提供加密的网络服务,如远程登录、文件传输等。OpenSSH ...
离线升级openssh从8.1版本至8.4版本
qq_16961587的博客
09-08 2786
离线升级openssh
linux 离线升级Openssh与Openssl版本
weixin_47155314的博客
10-25 1240
ssh-V为了避免在生产上安装openSSH失败,安装telnet检查telnet是否安装如果安装,请先卸载后重新安装1.关闭telnet服务2.执行卸载,并再次查看注意:需要先安装xinetd,然后安装telnet客户端,再安装telnet服务端,不然可能会报错查看运行状态防火墙放行端口开放用户的权限,编辑以下文件.vim/etc/pam.d/remote注释掉红框中的语句安装GCC。
CentOS离线升级OpenSSH至9.6p1版本
peakccy的博客
03-27 4351
登录失败,这个为正常现象,因为系统默认禁止root用户使用telnet登录终端,我们在日志中查看登录使用的终端并在/etc/securetty中解除禁止即可。注:在进行openssh升级之前,建议安装telnet服务,以防止在升级过程中一旦出现中断现象,服务器还可以通过telnet方式登录。我们升级OpenSSH采用的是卸载主机中老版本的OpenSSH,再安装新版本的OpenSSH,依此来达成升级并解决漏洞的问题。2、安装telnet-client、telnet-server、xinetd。
active directory域服务
08-13
### 回答1: Active Directory域服务是一种由微软公司开发的网络服务,它提供了一种集中管理和控制网络资源的方式。它可以在一个域中集中管理用户、计算机、应用程序和其他网络资源,从而提高了网络的安全性和可管理性。Active Directory域服务还提供了一些高级功能,如单点登录、组策略管理和域名系统(DNS)集成等,使得网络管理员可以更加轻松地管理和维护网络。 ### 回答2: Active Directory域服务(Active Directory Domain Services,简称AD DS)是微软公司的一项用于管理和组织网络资源的目录服务。它是一种基于LDAP(轻量级目录访问协议)的目录服务,可以让用户和管理员方便地管理和访问网络中的资源。 AD DS的主要功能包括用户身份认证、访问控制、组管理和资源管理等。通过AD DS,管理员可以集中管理和配置用户和计算机的访问权限,确保系统安全。同时,AD DS还提供了域的集中管理功能,管理员可以通过域控制器管理域中的所有对象,并在域中实施策略。 AD DS还支持单点登录功能,用户只需在登录到域之后,即可自动访问到所属域中的资源,而无需再次输入用户名和密码。这大大提高了用户的工作效率。 此外,AD DS还支持多域架构,可以通过建立信任关系实现跨域资源的访问和管理。管理员可以维护多个域之间的信任关系,实现用户和资源的统一管理。 总而言之,AD DS是一种强大的目录服务,可以实现用户和资源的集中管理和访问控制,提高网络系统的稳定性和安全性。它是企业网络管理的重要组成部分,为企业提供了高效的身份认证和资源管理功能,增强了企业的生产力和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值