欢迎访问 生活随笔!

ag凯发k8国际

当前位置: ag凯发k8国际 > 运维知识 > centos >内容正文

centos

openssh升级sftp-ag凯发k8国际

发布时间:2024/4/19 centos 80 豆豆
ag凯发k8国际 收集整理的这篇文章主要介绍了 openssh升级sftp_centos7 升级 openssh 到7.9p1的详细步骤 小编觉得挺不错的,现在分享给大家,帮大家做个参考.

由于项目构建时间比较长,近期安全检查发现openssh有漏洞。所以要升级openssh到7.9p1版本。由于ssh用于远程连接,所以要谨慎操作。本文讲的步骤是在centos7.3系统、原openssh是系统安装时自带的6.6版本基础上进行升级(其他版本类似),建议生成环境要先做测试,之后再在生产环境升级。

一、升级说明

1、升级openssh后,原有公钥失效,信任关系需要重新配置;

2、升级过程需要停止sshd服务,会导致ssh和sftp无法使用;

3、升级需要关闭防火墙服务;

4、升级需要关闭selinux服务;

5、升级前需要开启telnet,防止升级失败,系统无法登录,对应的防火墙需要开启23端口,安装需要telnet相关包(推荐通过系统iso安装)

6、升级过程中需要刷新lib库:ldconfig -v;

7、升级顺序:顺序是zlib库-> openssl -> openssh;

8、升级需要gcc、make、perl、zlib、zlib-devel、pam、pam-devel依赖包;

二、安装包准备

需要准备的安装包(点击可本地下载):

三、安装并启用telnet

1、安装telnet服务端

yum -y install xinetd telnet-server

2、默认情况下,系统是不允许root用户telnet远程登录的。如果要使用root用户直接登录,需设置如下内容。或者可以添加一个可以登录的用户,登录并su到root用户(建议采用此方法,保证系统安全)。此步骤可跳过!

允许root用户通过telnet登陆:

编辑/etc/pam.d/login,注释掉下面这行

vi /etc/pam.d/login

#auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

3、添加超级用户登陆设备至/etc/securetty文件cp /etc/securetty /etc/securetty.bak

echo "pts/0" >> /etc/securetty

echo "pts/1" >> /etc/securetty

echo "pts/2" >> /etc/securetty

4、开启root用户远程登陆。此步骤可跳过!

编辑/etc/pam.d/remote,注释下列这行:

vi /etc/pam.d/remote

#auth required pam_securetty.so

5、重启telnet和xinetd服务【telnet服务依赖于xinetd服务】systemctl restart telnet.socket

systemctl restart xinetd

ps:如果开启了防火墙,需要将23端口(系统默认23为telnet端口)添加到防火墙允许的端口的列表中。

四、安装升级

(1)、升级前环境准备

1、将上文下载的三个文件上传至服务器,目录可自行设定,方便即可。

2、关闭系统防火墙

systemctl stop firewalld.service

3、关闭selinux

检查是否关闭:

getenforce

如果未关闭,关闭之

setenforce 0

上面只是临时关闭了,重启后不生效。下面改配置文件,使永久生效。

vi /etc/selinux/config

修改:

selinux=disabled

保存退出。

4、安装相关依赖包

yum -y install gcc make perl zlib zlib-devel pam pam-devel

安装完毕后执行下面命令,确保所有依赖包正常安装

rpm -qa | egrep "gcc|make|perl|zlib|zlib-devel|pam|pam-devel"

(2)、升级openssh(注意从这步开始,通过telnet登录到服务器,务必)

1、停止ssh服务

systemctl stop sshd

备份ssh配置文件

cp -r /etc/ssh /etc/ssh.old

2、查看系统原有openssh包

rpm -qa | grep openssh

根据上面查询出的结果,卸载系统里原有openssh(一般有三个包,全部卸载)

rpm -e --nodeps  xxxxxxxxxx

卸载完成后执行rpm -qa | grep openssh,确保没有回显

3、编译安装zlib

解压刚才上传到服务器的zlib-1.2.11.tar.gz,并进行编译安装tar -xzvf zlib-1.2.11.tar.gz

cd zlib-1.2.11

./configure --prefix=/usr/local/zlib

如果报错类似下图所示,请安装gcc

make

make install

验证zlib安装是否成功,要包含include、lib、share三个目录。

ll /usr/local/zlib

新建并编辑配置文件:

vi /etc/ld.so.conf.d/zlib.conf

加入如下内容后保存退出

/usr/local/zlib/lib

刷新库文件,加载刚才编译安装的zlib生成的库文件

ldconfig -v

4、编译安装openssl

解压安装openssl包,并进行编译安装tar -xzvf openssl-1.0.2o.tar.gz

cd openssl-1.0.2o

./config shared zlib

make      (时间比较长,切勿打断)

make test    (时间比较长,切勿打断)

make install     (时间比较长,切勿打断)

重命名现有文件目录

mv /usr/bin/openssl /usr/bin/openssl.bak

创建ssl相关软连接

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/ssl/include/openssl /usr/include/openssl

编辑配置文件

vi /etc/ld.so.conf.d/ssl.conf

加入如下内容后保存退出

/usr/local/ssl/lib

刷新库文件,加载刚才编译安装的ssl生成的库文件

ldconfig -v

查看openssl版本

openssl version -a

5、升级openssh,编译安装tar -zxvf openssh-7.9p1.tar.gz

cd openssh-7.9p1

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd

make

修改文件权限

chmod 600 /etc/ssh/ssh_host_rsa_key

chmod 600 /etc/ssh/ssh_host_ecdsa_key

chmod 600 /etc/ssh/ssh_host_ed25519_key

make install

修改配置文件,允许root直接登录

echo "passwordauthentication yes"   >> /etc/ssh/sshd_config

echo "permitrootlogin yes" >> /etc/ssh/sshd_config

ssh服务必须开机自启动,因此要进行一些设置

cp -p contrib/redhat/sshd.init /etc/init.d/sshd

chmod  x /etc/init.d/sshd

chkconfig --add sshd

chkconfig sshd on

systemctl restart sshd

验证ssh版本

ssh -v

ssh登录测试,可以成功登录。

openssh版本升级完成!

如果之前是rpm包安装的。并且按照以上步骤操作,可以直接以下命令进行回滚# yum -y install openssh-clients

# yum -y install openssh-server

# yum -y install openssh

总结

以上是ag凯发k8国际为你收集整理的openssh升级sftp_centos7 升级 openssh 到7.9p1的详细步骤的全部内容,希望文章能够帮你解决所遇到的问题。

如果觉得ag凯发k8国际网站内容还不错,欢迎将ag凯发k8国际推荐给好友。

  • 上一篇:
  • 下一篇:
网站地图