CENTOS7.6升级openssh9.8,openssl3.3.1记录

由于发现centos7.6自带的openssh存在安全漏洞，公司要求进行修复。

参考了网上的方法，成功升级。

用xftp将以下文件复制到/home/updatessh目录下

openssh-9.8p1.tar.gz

zlib-1.2.11.tar.gz

openssl-3.3.1.tar.gz

关闭SElinux

setenforce 0

安装编译需要的依赖包

yum -y install gcc gcc-c++ kernel-devel perl perl-CPAN zlib-devel openssl-devel

安装CPAN

安装IPC::Cmd模块

cpan IPC::Cmd

安装telnet 服务

yum -y install xinetd telnet telnet-server

开启telnet服务

systemctl start telnet.socket

systemctl start xinetd

防火墙开telnet端口

firewall-cmd --zone=public --add-port=23/tcp --permanent

重新加载防火墙以应用更改：

firewall-cmd --reload

检查端口是否成功添加，使用以下命令：

firewall-cmd --zone=public --list-ports

允许root用户通过telnet登陆

编辑/etc/pam.d/login注释以下行

vi /etc/pam.d/login（按a进入编辑模式）

按esc输入:wq保存退出

开启root用户远程登陆telnet

vi /etc/pam.d/remote注释以下行

用telnet登陆（执行编译和安装）

进入放源文件的目录 cd /home/updatessh

解压

tar -xzvf zlib-1.2.11.tar.gz

tar -xzvf openssl-3.3.1.tar.gz

tar -xzvf openssh-9.8p1.tar.gz

停止ssh服务

systemctl stop sshd

查看系统原openssh

rpm -qa |grep openssh

删除查出来的这三个包

rpm -e --nodeps openssh-7.4p1-23.el7_9.x86_64

rpm -e --nodeps openssh-server-7.4p1-23.el7_9.x86_64

rpm -e --nodeps openssh-clients-7.4p1-23.el7_9.x86_64

再rpm -qa |grep openssh查一次，确认删除

安装zlib

cd zlib-1.2.11

配置和安装

./configure --prefix=/usr/local/zlib && make && make install

查看是否安装成功

ll /usr/local/zlib

安装openssl

cd openssl-3.3.1

配置和安装（时间比较长，耐心等待）

./config shared && make && make install

创建软链接

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/ssl/include/openssl /usr/include/openssl

ln -s /usr/local/lib64/libssl.so.3 /usr/lib64/libssl.so.3

ln -s /usr/local/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3

更新系统库

echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

ldconfig -v

查看openssl版本

openssl version

安装openssh

cd openssh-9.8p1

配置和安装

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64 --with-zlib --with-pam --with-md5-password --with-ssl-engine --with-selinux && make && make install

警告项：提示私钥权限太大，更改权限

chmod 600 /etc/ssh/ssh_host_rsa_key

chmod 600 /etc/ssh/ssh_host_ecdsa_key

chmod 600 /etc/ssh/ssh_host_ed25519_key

编辑配置文件

vi /etc/ssh/sshd_config（更改三行标白部分如图示，允许root用户登陆）

复制文件,改权限加配置

cp -p contrib/redhat/sshd.init /etc/init.d/sshd

chmod +x /etc/init.d/sshd

chkconfig --add sshd

chkconfig sshd on

重启ssh

systemctl restart sshd

查看ssh状态

systemctl status sshd

查看ssh版本

ssh -V

ssh协议登陆时，找不到匹配的key exchange算法或host 算法

编辑配置文件

vi /etc/ssh/sshd_config

在文件下面增加这几行

KexAlgorithms +diffie-hellman-group14-sha1

HostKeyAlgorithms +ssh-rsa

PubkeyAcceptedKeyTypes +ssh-rsa

PasswordAuthentication yes

停止telnet服务（不安全，为了方便以后升级，仅停止服务即可）

systemctl stop telnet.socket

systemctl stop xinetd