Centos7 升级OpenSSH 8.4p1的详细图文步骤

2020/12/11 15:22
阅读数 1K

随着OpenSSH更新,之前的版本也存在了一些已知漏洞,给系统带来安全风险,OpenSSH 8.4p1版本已经发布,OpenSSH 8.4 的一大变化是弃用 SHA-1 算法,ssh-rsa 公钥签名算法将在未来发布的版本中默认禁用。开发者称,对 SHA-1 算法发动选择前缀***的花费不到 5 万美元,因此他们决定未来默认将其禁用。虽然存在更好的替代,但 SHA-1 算法至今仍然被广泛使用。可选的替代算法包括:RFC8332 RSA SHA-2 签名算法 rsa-sha2-256/512;ssh-ed25519 签名算法;RFC5656 ECDSA 算法ecdsa-sha2-nistp256/384/521。

一、升级说明
1、升级OpenSSH后,原有公钥失效,信任关系需要重新配置;

2、升级过程需要停止sshd服务,会导致ssh和sftp无法使用;

3、升级需要关闭防火墙服务;

4、升级需要关闭selinux服务;

5、升级前需要开启telnet,防止升级失败,系统无法登录,对应的防火墙需要开启23端口,安装需要telnet相关依赖包

6、升级过程中需要刷新lib库:ldconfig -v;

7、升级顺序:顺序是zlib库-> openssl -> openssh;

8、升级需要gcc、make、perl、zlib、zlib-devel、pam、pam-devel等依赖包;

二、升级准备
1、确保YUM功能可用;

2、下载下面的安装包上传到系统;

zlib-1.2.11.tar.gz openssl-1.0.2r.tar.gz openssh-8.4p1.tar.gz 请移步这里进行下载~

三、升级操作
按下面步骤进行操作,考虑到不同系统配置环境不通,建议预先进行测试。请务必开启telnet,以免升级过程中断导致无法连接系统。

1、为了方便升级操作,我们先刷新YUM缓存,顺便可以检测YUM能不能正常使用

执行命令,等待缓存刷新完毕,如果报错,则说明YUM不能用,请解决后再进行升级操作

yum makecache
image.png

2、安装启动telnet服务端,以便升级失败时能通过telnet协议登录系统

执行命令,启动telnet服务,如果未安装服务,则通过YUM进行安装

cp /etc/securetty /etc/securetty.bak
echo "pts/0" >> /etc/securetty
echo "pts/1" >> /etc/securetty
systemctl restart telnet.socket
systemctl restart xinetd
systemctl enable telnet.socket
systemctl enable xinetd





//未安装服务或不能正常启动时,执行下面命令进行安装和配置
yum -y install xinetd telnet-server
cp /etc/securetty /etc/securetty.bak
echo "pts/0" >> /etc/securetty
echo "pts/1" >> /etc/securetty
systemctl restart telnet.socket
systemctl restart xinetd
systemctl enable telnet.socket
systemctl enable xinetd
image.png








3、为避免防火墙和selinux造成影响,在升级过程中,建议将其关闭

执行下面的命令关闭selinux和firewall防火墙,使用iptables的系统建议也将其关闭

setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
systemctl stop firewalld
image.png


4、安装依赖包组件,等待安装完……

yum -y install gcc gcc-c++ make pam pam-devel openssl-devel pcre-devel perl zlib-devel
image.png

5、停止并卸载系统自带ssh组件(之前编译升级过的系统执行后会报错,可忽略)

……

完成内容请点击查看~Centos7 升级OpenSSH 8.4p1的详细图文步骤

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部