openssh与openssl升级方案

Linux下OpenSSH版本升级在运营商对各个系统的安全扫描的过程中，经常会遇到如下OpenSSH安全漏洞：这一安全漏洞通常需要到ftp:///pub/OpenBSD/OpenSSH/portable/下载openssh-5.0p1以上的版本，然后进行软件升级才能解决这一问题。

一、OpenSSH升级前需要准备的工作如下：（1）开启telnet的服务，关闭SSH服务，详见《Linux下telnet开启和关闭服务》文档；如果是在本机上直接操作就不需要开启。

（2）将下载好的OpenSSH包上传到需要升级的服务器上。

（3）检查OpenSSL和Zlib版本，openssh-5.0p1要求在OpenSSL版本在0.9.6以上，Zlib滴版本在1.2.1.2以上；SUSE10下查看相关命令如下：RedHat AS下查看相关命令如下：如果OpenSSL和Zlib版本无法满足OpenSSH升级需求，则需要进行相应的版本升级。

二、OpenSSH升级（1）备份好之前SSH的相关配置文件，也可以cd /etc，直接tar整个ssh目录。

（2）service sshd stop或者/etc/init.d/sshd stop关闭ssh服务（3）tar zxvf openssh-5.0p1.tar.gz（4）cd openssh-5.0p1./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check指定安装目录，同时不检查zlib版本。

注：在配置的过程中一定要确保没有错误提示，这样才能进行后续的编译。

（5）make //编译（6）make install //安装（7）使用命令ssh –V验证升级是否成功。

OpenSSH_5.0p1, OpenSSL 0.9.8a 11 Oct 2005（8）vi /etc/ssh/sshd_config指定Protocol 2，指定PermitRootLogin no（9）service sshd start或者/etc/init.d/sshd start开启ssh服务（10）关闭telnet服务，详见《Linux下telnet开启和关闭服务》文档。

本手册旨在升级OpenSSH版本，提升Linux安全性。

在RedHat AS3 Update8和RedHat AS4 Update7上测试成功。

一、升级zLib至1.2.3版本yum install zlib1、下载Zlib 1.2.3a) wget /soft/22/zlib-1.2.3.tar.gz2、安装Zlib 1.2.3a) tar –zxvf zlib-1.2.3.tar.gzb) cd zlib-1.2.3c) ./configure –prefix=/usr/local/zlibd) makee) make install二、升级OpenSSL至0.9.8g版本yum install openssl1、下载OpenSSL 0.9.8ga) wget /soft/22/openssl-0.9.8g.tar.gz2、安装OpenSSL 0.9.8ga) tar –zxvf openssl-0.9.8g.tar.gzb) cd openssl-0.9.8gc) ./config shared zlib./config –prefix=/usr/local/openssl shared zlib-dynamic -–with-zlib=/usr/local/zlib --with-zlib-include=/usr/local/zlib-1.2.5/included) makee) make installf) mv /usr/bin/openssl /usr/bin/openssl.OFFg) mv /usr/include/openssl /usr/include/openssl.OFFh) ln –s /usr/local/ssl/bin/openssl /usr/bin/openssli) ln –s /usr/local/ssl/include/openssl /usr/include/openssl3、配置库文件搜索路径a) echo “/usr/local/ssl/lib”>> /etc/ld.so.confb) ldconfig –v4、查看OpenSSL的版本号，验证安装结果a) openssl version –a三、升级OpenSSH至5.0p1版本1、下载OpenSSH 5.0p1a) Wget /soft/22/openssh-5.0p1.tar.gz2、安装OpenSSH 5.0p1a) tar –zxvf openssh-5.0p1.tar.gzb) cd openssh-5.0p1c) ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl-1.0.0a --with-md5-passwords--mandir=/usr/share/man --with-zlib=/usr/local/zlib-1.2.5--without-openssl-header-checke) make install3、配置SSH 5.0p1，增SSH的安全性a) vi /etc/ssh/sshd_configb) 将#Protocol 2,1修改为Protocol 2c) 将X11Forwarding yes修改为X11Forwarding nod) 修改完之后保存退出e) 重启服务service sshd restart 使修改生效4、查看OpenSSH的版本号，验证安装结果a) ssh -V5、如果OpenSSH和OpenSSL都是新的版本号就大功告成了。

升级openssl和openssh版本⼀、安装telnet-server服务（建议安装）1、查看系统是否已安装telnet-server，linux系统上默认已经安装telnet-client(或telnet)，⽽telnet-server需要⼿动安装。

rpm -qa | grep telnettelnet-0.17-39.el5telnet-server-0.17-39.el52、若没有安装telnet-server，需安装telnet-serveryum install telnet-server3、编辑/etc/xinetd.d/telnet, 将其中的 disable = yes 的yes改为no.4、激活xinetd服务service xinetd restart或：/etc/rc.d/init.d/xinetd restart⼆、下载系统升级所需包1、下载telnet-server包（建议使⽤yum安装）wget http://202.107.70.26/cdkey/telnet-server-1.2-134.22.x86_64.rpm2、下载openssh包wget /pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz3、下载zlib包wget https:///projects/libpng/files/zlib/1.2.8/zlib-1.2.8.tar.gz --no-check-certificatewget http://202.107.70.26/cdkey/zlib-1.2.8.tar.gz4、下载openssl包（建议下载⾼版本）wget https:///source/openssl-1.1.0h.tar.gz --no-check-certificatewget /source/openssl-1.0.1h.tar.gzwget https:///source/old/1.0.2/openssl-1.0.2h.tar.gz --no-check-certificatewget https:///source/openssl-1.0.2o.tar.gz --no-check-certificate5、下载openssl-fips（建议下载⾼版本）wget /source/openssl-fips-2.0.5.tar.gzwget https:///source/openssl-fips-2.0.16.tar.gz --no-check-certificate三、升级openssl版本1、编译安装zlib-1.2.8.tar.gztar zxvf zlib-1.2.8.tar.gzcd zlib-1.2.8./configuremake && make install2、编译安装openssl-fips-2.0.16.tar.gztar -zxvf openssl-fips-2.0.16.tar.gzcd openssl-fips-2.0.16./configmake && make install3、编译安装openssl-1.0.2o.tar.gztar -zxvf openssl-1.0.2o.tar.gzcd openssl-1.0.2o./config fips --sharedmake && make install4、备份旧版opensslmkdir -p /opt/openssl_oldmv /usr/bin/openssl /opt/openssl_old/5、替换新版opensslln -s /usr/local/ssl/bin/openssl /usr/bin/opensslll /usr/bin/openssllrwxrwxrwx 1 root root 26 Jun 30 20:55 /usr/bin/openssl -> /usr/local/ssl/bin/openssl6、检查更新后的OpenSSL版本注意：虽然升级了OpenSSL，可是使⽤rpm -q openssl查看版本是，还是旧版（因为rpm只能管理rpm包），所以查看openssl版本还是要以openssl version -a命令为准。

OpenSSH相关漏洞解决本文主要针对绿盟对Linux服务器扫出OpenSSH相关漏洞总结出的解决方案，漏洞更新时间为2014年重要漏洞，本文将服务器更新至OpenSSH-6.6p1版本，可解决2014之前的OpenSSH重要漏洞，帮助通过验收。

OpenSSH-6.6p1具体更新步骤：1、修改设置文件/etc/xinetd.d/telnet 中disable字段改为no;2、打开telnet服务;#service xinetd start3、新建一个用户useradd swroot，passwd swroot;4、用telnet连接测试通过；5、停止sshd服务;#service sshd stop6、卸载原openssl和openssh的RPM包;#rpm -e openssl --nodeps#rpm -e openssl-devel –nodeps#rpm -e openssh --nodeps#rpm -e openssh-server --nodeps#rpm -e openssh-clients --nodeps#rpm -e openssh-askpass –nodeps7、安装openssl-1.0.1g和openssh-6.6p1;#rpm -ivh openssl-1.0.1g-1.el6.x86_64.rpm --nodeps#rpm -ivh openssl-devel-1.0.1-1.el6.x86_64.rpm --nodeps#rpm -ivh openssh-6.6p1-1.x86_64.rpm#rpm -ivh openssh-clients-6.6p1-1.x86_64.rpm#rpm -ivh openssh-server-6.6p1-1.x86_64.rpm#rpm -ivh openssh-askpass-gnome-6.6p1-1.x86_64.rpm8、启动sshd服务;#service sshd start9、停止telnet服务并恢复相关配置，不然telnet相关漏洞又会被发现;10、最后，上述安装步骤中提及的OpenSSL-1.0.1g及OpenSSH-6.6p1的相关RPM软件下载地址：/s/1qWx4CxA。

升级ssh修复CVE-2023-48795漏洞一、升级openssl1、卸载opensshyum -y remove opensshyum -y remove openssl2、安装相关依赖包yum -y install pam pam-devel zlib zlib-devel openssl-devel3、将文件放到/usr/local并解压tar -zxvf openssl-1.1.1w.tar.gz4、编译安装#进入Openssl目录cd /usr/local/openssl-1.1.1w#编译安装./config shared --prefix=/usr/local/opensslmake -j 4make install5、做软连接echo "/usr/local/openssl/lib/" >> /etc/ld.so.conf#加载配置文件ldconfig#做软链接ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl6、查看openssl版本openssl version#若为OpenSSL 1.1.1w 11 Sep 2023 则证明升级成功二、升级openssh1、查看当前OpenSSH包rpm -qa | grep openssh2、查看当前OpenSSH版本ssh -V3、上传OpenSSH并解压到/usr/local下tar -zxvf openssh-9.6p1.tar.gz#进入OpenSSH目录cd /usr/local/openssh-9.6p1#编译安装./configure --sysconfdir=/etc/ssh --with-zlib --with-ssl-dir=/usr/local/openssl make -j 4make install4、授权chmod 600 /etc/ssh/*5、复制配置文件#执行以下命令时，必须全部执行成功，否则影响最终结果cp -rf /usr/local/sbin/sshd /usr/sbin/sshdcp -rf /usr/local/bin/ssh /usr/bin/sshcp -rf /usr/local/bin/ssh-keygen /usr/bin/ssh-keygencp -ar /usr/local/openssh-9.6p1/contrib/redhat/sshd.init /etc/init.d/sshdcp -ar /usr/local/openssh-9.6p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pam6、配置sshd自动启动，生成服务配置文件，并重启服务#启用sshd自动启动systemctl enable sshd#重启服务systemctl restart sshd#查看状态systemctl status sshd7、验证结果ssh -VOpenSSH_9.6p1, OpenSSL 1.1.1w 11 Sep 20238、如果ssh登录不上去修改/etc/ssh/sshd_configPermitRootLogin yesPubkeyAuthentication yes。

一、准备依赖软件和环境注意：适用于SUSE Linux Enterprise Server 11 SP1（x86_64）1.1本地ZYPPER配置注意：（gcc，gcc-gcc+已经安装的话，跳过此步骤）存放repo文件目录cd /etc/zypper/repos.d创建目录mkdir or赋予目录权限chmod -r 777 or1.2上传openssh升级所需安装包（1）将openssh-7.9p1.tar.gz;openssl-1.0.2q.tar.gz;openssl-fips-2.0.16.tar.gz和zlib-1.2.11.tar.gz上到/usr/local/src目录下（2）将下列rpm安装包pam-devel-1.3.0-10.1.x86_64.rpm;zlib-devel-1.2.8-14.3.1.x86_64.rpm和libopenssl-devel-1.0.2j-25.1.x86_64.rpm上传到/home/目录1.3安装必要的依赖包安装必要的gcc, gcc-c++编译工具以及libopenssl-devel，pam-devel，zlib-devel#zypper in -y gcc gcc-c++#rpm -ivh libopenssl-devel-1.0.2j-25.1.x86_64.rpm --nodeps#rpm -ivh pam-devel-1.3.0-10.1.x86_64.rpm --nodeps#rpm -ivh zlib-devel-1.2.8-14.3.1.x86_64.rpm --nodeps二、安装必要的OpenSSL2.1检查系统自带的openssl#rpm -qa openssl注意：由于openssl依赖的软件太多，所以在升级openssl时，无需卸载旧版本，如果强制卸载可能导致系统不能正常运行2.2检查openssl版本#openssl version2.3检查openssl安装文件及路径#which openssl注意在升级过程中将旧版的相关文件进行备份，在升级新版本后重新链接替换为新版本对应的文件目录#whereis openssl#ls /etc/ssl2.4备份上述文件，/usr/bin/X11/openssl为/usr/bin/openssl的软链接#mkdir /home/ssl_bak#mv /usr/bin/openssl /home/ssl_bak/#mv /etc/ssl /home/ssl_bak/etc_ssl#mv /usr/include/openssl /home/ssl_bak/include_openssl2.5安装zlib-1.2.11#cd /usr/local/src#tar -zxvf zlib-1.2.11.tar.gz#cd zlib-1.2.11#./configure#make#make install三、升级openssl3.1安装openssl-fips-2.0.16#cd /usr/local/src#tar -zxvf openssl-fips-2.0.16.tar.gz#cd openssl-fips-2.0.16/# ./config --prefix=/usr/local/openssl --openssldir=/etc/ssl shared#make#make install3.2检查安装好后的目录文件#ll /usr/local/openssl#ls /usr/local/openssl/{bin,include,lib}3.3安装openssl-1.0.2q#cd /usr/local/src#tar -zxf openssl-1.0.2q.tar.gz#cd openssl-1.0.2q/#./config --prefix=/usr/local/openssl --openssldir=/etc/ssl shared #make#make install3.4查看安装好的/usr/local/openssl目录文件#ll /usr/local/openssl/{bin,include,lib}3.5查看/etc/ssl目录#ll /etc/ssl3.6配置升级后的openssl的相关目录（链接openssl程序）#ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl#ln -s /usr/local/openssl/include/openssl /usr/include/openssl #vim /etc/ld.so.conf注意，一定要添加上面一行，/usr/local/openssl/lib放置在包含lib64的行后面，否则编辑openssh时会找不到openssl-1.0.2q，只会找到原来版本的openssl进行编译#ldconfig3.7查看升级的openssl版本#/usr/bin/openssl version -a四、卸载系统原有的OpenSSH4.1停止openssh服务#service sshd stop4.2卸载openssh#zypper rm openssh#rpm -qa|grep openssh五、升级OpenSSH5.1安装openssh8.1p1#cd /usr/local/src#tar -zxvf openssh-8.1p1.tar.gz#cd openssh-8.1p1/#./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/src/openssl-1.0.2q --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/src/zlib-1.2.11 --without-openssl-header-check#make#make install5.2查看升级后的版本#ssh -v5.3 拷贝sshd启动脚本，contrib/目录下对应系统的启动脚本#pwd#cd contrib/#cp suse/rc.sshd /etc/init.d/sshd#chmod 777 /etc/init.d/sshd5.4启动并设置开机启动#chkconfig --add sshd#chkconfig sshd on#chkconfig --list5.5修改sshd文件#vim /etc/ssh/sshd_config增加PermitRootLogin yes这一行修改#PasswordAuthentication yes行去掉注释#如果没有以上两个命令，就手动添加进去。

Linux升级OpenSSH和OpenSSL，解决XMSSKey解析整数溢出漏洞、Open。

OpenSSH和OpenSSLOpenSSLOpenSSL其实是⼀个开源的C函数库，多⽤于加密依赖，很多程序的编译，需要OpenSSL作为依赖包。

OpenSSHOpenSSH 是 SSH （Secure SHell） 协议的免费开源实现，类似于OpenJDK和OracleJDK的区别。

需要⽤到OpenSSL的函数库，所以在更新OpenSSH前，最好先更新OpenSSL。

SSH协议族可以⽤来进⾏远程控制， 或在计算机之间传送⽂件。

相对于传统⽅式，OpenSSH提供了服务端后台程序和客户端⼯具，并且加密远程控制和⽂件传输过程中的数据。

简单地说，⽇常使⽤OpenSSH：远程控制服务器端，如：远程登录访问Linux的Terminal。

且过程中加密传输。

OpenSSL 拒绝服务漏洞拒绝服务漏洞，代号为：CVE-2021-3449：主要是⼀些操作，可能会让OpenSSL TLS 强⾏停⽌。

【我感觉这个漏洞不是很严重啦，但是⼤家都觉得很严重……那还是有必要修复⼀下╮(￣▽￣"")╭】解决⽅法很简单：升级OpenSSL版本。

XMSS Key 解析整数溢出漏洞XMSS Key漏洞，代号为：CVE-2019-16905：主要是⾮法⽤户，可以通过此漏洞，跳过OpenSSH的认证，远程登录到你服务器【不过计算难度挺⾼的，⽽且条件苛刻……】。

但是，总归是重⼤漏洞，需要修复：解决⽅法很简单：升级OpenSSH版本。

升级的⽅法很简单：下载新版本OpenSSL源码备份旧版本OpenSSL编译安装新版本OpenSSL下载新版本OpenSSL源码这边推荐下载地址：⽐如，我这边下载openssl-1.1.1k.tar.gz。

到Linux控制台内，使⽤wget下载即可（你也可以使⽤宝塔等软件下载，但是记得权限问题）：wget 'https:///source/openssl-1.1.1k.tar.gz'之后，我们解压这个tar.gz⽂件夹，并进⼊：# 使⽤tar⼯具包解压tar -xf openssl-1.1.1k.tar.gz# 进⼊⽂件夹cd openssl-1.1.1k备份旧版本OpenSSL为了避免编译过程中，出现意外（如：远程SSH突然断连，导致编译失败）；我们提前备份旧版本OpenSSL，给回滚“留条路”(如果你之前都没有安装OpenSSL，这步可以跳过)：# 备份OpenSSL到⽤户⽬录，并重命名为openBakmv openssl ~/openBak编译安装新版本OpenSSL刚刚我们已经在新的OpenSSL⽬录，所以我们可以直接开始编译。

一、环境描述1）操作系统：redhat6.5 64位2）Openssl升级前版本：openssl 1.0.1e3）Openssl升级后版本：openssl 1.0.1j（源码安装）4）Openssh升级前版本：openssh-5.3p2-41.el55）Openssh升级后版本：openssh_6.7p1（源码安装）6）连接工具xshell 4二、telnet代替OpenSSH（可选）开启telnet，并允许root登陆（适用于rhel4.*，rhel5.*，rhel6.*）使用命令查看已经安装的telnet包（系统默认已经安装）#rpm -qa | grep telnet开启telnet服务#chkconfig telnet on修改securetty文件#vim /etc/securetty添加几个ptspts/1pts/1pts/3激活telnet#service xinetd restart三、升级OpenSSL到openssl-1.0.1j，并删除老版本1）升级前准备下载openssl-1.0.1j/source/openssl-1.0.1j.tar.gz2）删除旧版本#rpm -e `rpm -qa | grep openssl` --allmatches --nodeps3）安装openssl, 一定记得加上--shared选项, 否则openssh编译的时候会找不到新安装的openssl的library, 会报错: openssl的header和library版本不匹配# ./config --prefix=/usr --shared# make# make test# make install完毕后查看openssl版本安装是否正确注：老版本低于1.0.1e，那直接安装1.0.1g版本就会出缺失libssl.so.10和libcrypto.so.10库文件的问题，在启动某服务或者直接yum安装等命令都会出现下面问题；且最严重问题是SSH就连接不上了···解决办法：1、首先查看/usr/lib64/目录下（如是32位系统那路径就是/usr/lib/）libssl.so库文件的版本，我的是libssl.so.1.0.0[root@localhost/]# ll /usr/lib64/libssl.so*-rwxr-xr-x. 1 root root 479012 Apr 9 13:39 /usr/lib64/libssl.so.1.0.0 2、再查看/usr/lib64/目录下[root@localhost/]#ll /usr/lib64/libcrypto.so*-rwxr-xr-x. 1 root root 2200149 Apr 9 13:39 /usr/lib64/libcrypto.so.1.0.03、创建软链接（ln源就是上面查出的对应版本的库文件）：cd /usr/lib64/ln -s /usr/lib64/libssl.so.1.0.0 libssl.so.10ln -s /usr/lib64/libcrypto.so.1.0.0 libcrypto.so.10注意：系统做roseha双机的时候，双机脚本会影响到这两个库文件的软链接，导致ssh登陆不上，并且sshd服务无法启动。

OpenSSH5.3升级至OpenSSH7.3修复方案1.修改网卡启动的状态[root@Localhost]# vi /etc/sysconfig/network-scripts/ifcfg-eth02.yum注册检测yum的相关信息[root@Localhost ~]# yum check-update使用subscription-manager进行注册[root@Localhost ~]# subscription-manager register3.对yum进行升级[root@Localhost ~]# yum check-update[root@Localhost ~]# subscription-manager attach --auto[root@Localhost ~]# yum check-update查看rpm -qa telnet 是否安装telnet4.安装telnet服务[root@Localhost ~]# yum install telnet [root@Localhost ~]# yum list|grep telnet* [root@Localhost ~]# yum install telnet-server[root@Localhost ~]# vi /etc/xinetd.d/telnetdisable = yes yes改为no[root@Localhost ~]# service xinetd restart5.删除root限制[root@Localhost ~]# mv /etc/securetty /etc/securetty.bak6.查看防火墙状态[root@Localhost ~]# cat /etc/sysconfig/iptables[root@Localhost ~]# iptables-save7.修改防火墙查看是否开启23端口[root@Localhost ~]# vi /etc/sysconfig/iptables开启23端口：-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT [root@Localhost ~]# service iptables restart8.安装gcc[root@Localhost abrt]# yum list|grep gcc[root@Localhost abrt]# yum install gcc.x86_649.安装升级Zlib# cd /usr/local/src# yum install wget# wget /zlib-1.2.8.tar.gz# tar xzvf zlib-1.2.8.tar.gz# cd zlib-1.2.8# ./configure --prefix=/usr/local/zlib# make# make install10.升级OpenSSL#cd/usr/local/src#wget /source/openssl-1.0.1u.tar.gz(网址需要确认一下)#tar xzvf openssl-1.0.1u.tar.gz#cd openssl-1.0.1usu –yum install perlcd /usr/local/src/openssl-1.0.1uc#./config --prefix=/usr/local/openssl#make#make test（进行SSL加密协议的完整测试，如果出现错误一定先找出原因，否则一味继续，可能最终导致SSH 不能使用！）#make install11.卸载SSH老版本#rpm -qa|grep ssh#rpm -e openssh-server-5.3p1-84.1.el6.x86_64#rpm -e openssh-clients-5.3p1-84.1.el6.x86_64 提示不存在，正常#rpm -e openssh-5.3p1-84.1.el6.x86_64 提示不存在，正常#rpm -qa|grep ssh[root@Localhost~]#vi/etc/pam.d/login 未做12.升级OpenSSH# cd /usr/local/src# wget http://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-7.3p1.tar.gz# tar xzvf openssh-7.3p1.tar.gz# cd openssh-7.3p1#./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --with-md5-passwords（提示出现OpenSSL headers missing错误，需安装zlib-devel、keyutils-libs-devel、e2fsprogs-devel、libsepol-devel、libselinux-devel、krb5-devel、openssl-devel；yum install zlib-develyum install keyutils-libs-develyum install e2fsprogs-develyum install libsepol-develyum install libselinux-develyum install krb5-develyum install openssl-devel提示出现pam headers not found时需安装pam-devel）yum install pam-devel# make (如果在有问题的时候执行过make，需要通过make clean命令清空后再次执行make 命令)# make install# vi /etc/ssh/sshd_configPermitRootLogin yes（去掉本条前面的#号，生效）13.将sshd加入启动服务:进入ssh安装解压目录#cp ./contrib/redhat/sshd.init /etc/init.d/sshd (如提示文件不存在，需要在cd /usr/local/src cd openssh-7.3p1 目录下)#chmod +x /etc/init.d/sshd#chkconfig --add sshd最后启动SSH 服务使修改生效：# service sshd start#chkconfig --list |grep sshd 检查ssh服务是否开机启动，如果没有，执行下面命令#chkconfig --add sshd#/etc/init.d/sshd restart或者service sshd restart重启后确认一下当前的OpenSSH 和OpenSSL 是否为新版：# ssh -V14.关闭telnet[root@Localhost ~]# vi /etc/xinetd.d/telnet将disable = no 改为disable = yes# chkconfig telnet off# vi /etc/services注释掉23端口，在telnet两个端口前面加#。

AIX下升级Openssl和OPenSSH1、下载openssl和openssh自行登录官网进行对应系统版本下载installp格式。

openssh：下载。

openssl：下载。

建议下载no weak ciphers版本，默认禁用了一些较低版本的密钥算法。

2、备份sshlslpp-l|grep-i opensshlslpp-l|grep-i opensslcp-pr/etc/ssh/etc/ssh_backup3、升级opensslmkdir/home/newOpenSSLcd/home/newOpenSSLuncompress openssl-1.1.2.1201-no-weak-ciphers.tar.Ztar-xvf openssl-1.1.2.1201-no-weak-ciphers.tarsmitty安装smitty update_all或者smitty install_all选择install and update software——然后填写目录为程序当前目录——accept new license agreement(yes)——enter确认安装，安装完成后，查看版本openssl version-a4、升级openssh先启动telnet服务，以免升级失败无法远。

startsrc-t telnet查看是否有telnet进程lssrc-t|grep telnet解压安装包mkdir/home/newOpenSShcd/home/newOpenSShuncompress OpenSSH_8.1.112.1201.tar.Ztar-xvf OpenSSH_8.1.112.1201.tarsmitty安装smitty update_all或者smitty install_all选择install and update software——然后填写目录为程序当前目录——accept new license agreement(yes)——enter确认，自动进行安装。

OpenSSH_7.1p1升级操作⽅案（Openssl1.01p）Openssh7.1p1升级⽅案OpenSSH_7.1p1、Openssl1.01p、zlib1.28第⼀步准备安装包1.1、确定操作系统uname -alsb_release -a(suse)cat /etc/issue(redhat)1.2、将所需安装包上传到服务器zlib-1.2.8.tar.gzopenssl-1.0.1p.tar.gzopenssh-7.1p1.tar.gz相关下载：/doc/9e16665341.html、/doc/9e16665341.html、/doc/9e16665341.html、//先把所有安装⽂件上传服务器，再卸载ssh，要不⽂件上传⾮常⿇烦，在系统镜像中找到gcc安装包⼀并上传，⼤部分make 失败都是gcc未安装或者安装不全造成。

第⼆步准备好其他远程⽅式2.1、此项可选择telnet或者vnc来进⾏远程操作安装telnet服务，telnet安装rpm包对应操作系统ISO⽂件⾥⾯提取，建议不要跨操作系统版本安装，减少未知问题。

vi /etc/xinetd.d/telnetdisable = yes改成no。

servicexinetd restartvi /etc/securetty加⼊pts/0pts/1pts/2pts/3vi /etc/pam.d/login⽂件注释掉：#auth [user_unknown=ignore success=ok ignore=ignore#auth_err=die default=bad] pam_securetty.so//以上步骤保证root⽤户可以telnet,保证后续远程配置正常进⾏。

第三步程序升级3.1、停⽌SSHD服务# /sbin/service sshd stop3.2、备份启动脚本# cp /etc/init.d/sshd /root/3.3、卸载系统⾥原有Openssh# rpm –qaopenssh//查询系统原安装的openssh包,全部卸载。

CentOS7OpenSSH升级到最新OpenSSH8.8p1教程⼀、环境介绍查看openssh、openssl版本[root@localhost ~]# openssl versionOpenSSL 1.0.2k-fips 26 Jan 2017[root@localhost ~]# ssh -VOpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017查看linux发⾏版和内核[root@localhost ~]# cat /etc/os-releaseNAME="CentOS Linux"VERSION="7 (Core)"ID="centos"ID_LIKE="rhel fedora"VERSION_ID="7"PRETTY_NAME="CentOS Linux 7 (Core)"ANSI_COLOR="0;31"CPE_NAME="cpe:/o:centos:centos:7"HOME_URL="https:///"BUG_REPORT_URL="https:///"CENTOS_MANTISBT_PROJECT="CentOS-7"CENTOS_MANTISBT_PROJECT_VERSION="7"REDHAT_SUPPORT_PRODUCT="centos"REDHAT_SUPPORT_PRODUCT_VERSION="7"[root@localhost ~]# uname -r3.10.0-957.el7.x86_64⼆、安装配置telnet2.1、安装telnet-server[root@localhost ~]# yum -y install xinetd telnet-server2.2、配置telnet`先看⼀下xinetd.d⽬录下是否有telnet⽂件`[root@localhost ~]# ll /etc/xinetd.d/telnetls: cannot access /etc/xinetd.d/telnet: No such file or directory`如果有，则将⽂件⾥⾯的disable = no改成disable = yes``如果没有，就进⾏下⾯的操作`[root@localhost ~]# cat > /etc/xinetd.d/telnet <<EOFservice telnet{disable = yesflags = REUSEsocket_type = streamwait = nouser = rootserver = /usr/sbin/in.telnetdlog_on_failure += USERID}EOF2.3、配置telnet登录的终端类型[root@localhost ~]# cat >> /etc/securetty <<EOFpts/0pts/1pts/2pts/3EOF2.4、启动telnet服务[root@localhost ~]# systemctl enable xinetd --now[root@localhost ~]# systemctl enable telnet.socket --now[root@localhost ~]# ss -nltp | grep23LISTEN 0128 :::23 :::* users:(("systemd",pid=1,fd=46))`23端⼝起来了，表⽰telnet服务正常运⾏`三、切换登录⽅式为telnet后⾯的操作都是在telnet链接的⽅式下进⾏，避免ssh中断导致升级失败以telnet⽅式登录的时候，注意选择协议和端⼝，协议为telnet，端⼝为23四、开始升级OpenSSH4.1、下载升级所需依赖包[root@localhost ~]# yum -y install gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel[root@localhost ~]# wget https:///source/openssl-1.1.1i.tar.gz[root@localhost ~]# wget /pub/OpenBSD/OpenSSH/portable/openssh-8.6p1.tar.gz[root@localhost ~]# tar xf openssl-1.1.1i.tar.gz[root@localhost ~]# tar xf openssh-8.6p1.tar.gz4.3、编译安装OpenSSL`开始之前，先备份⼀下原有的OpenSSL⽂件`[root@localhost ~]# mv /usr/bin/openssl{,.bak}[root@localhost ~]# mv /usr/include/openssl{,.bak}[root@localhost ~]# cd openssl-1.1.1i/[root@localhost openssl-1.1.1i]# ./config shared && make && make install`编译完成后，可以在/usr/local⽬录下找到openssl的⼆进制⽂件和⽬录`[root@localhost ~]# ll /usr/local/bin/openssl-rwxr-xr-x 1 root root 749136 Jan 1414:25 /usr/local/bin/openssl[root@localhost ~]# ll -d /usr/local/include/openssl/drwxr-xr-x 2 root root 4096 Jan 1414:25 /usr/local/include/openssl/`建⽴软连接`[root@localhost ~]# ln -s /usr/local/bin/openssl /usr/bin/openssl[root@localhost ~]# ln -s /usr/local/include/openssl/ /usr/include/openssl[root@localhost ~]# ll /usr/bin/openssllrwxrwxrwx 1 root root 22 Jan 1414:32 /usr/bin/openssl -> /usr/local/bin/openssl[root@localhost ~]# ll -d /usr/include/openssllrwxrwxrwx 1 root root 27 Jan 1414:33 /usr/include/openssl -> /usr/local/include/openssl/`重新加载配置，验证openssl版本`[root@localhost ~]# echo"/usr/local/lib64" >> /etc/ld.so.conf[root@localhost ~]# /sbin/ldconfig[root@localhost ~]# openssl versionOpenSSL 1.1.1i 8 Dec 20204.3.1、可能会有的⼀些报错和解决⽅法[root@localhost ~]# openssl versionopenssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory"这是因为libssl.so.1.1⽂件找不到，执⾏find / -name 'libssl.so.1.1'，将/etc/ld.so.conf⾥⾯的lib64改成find出来的路径即可" [root@localhost ~]# find / -name "openssl""编译完，可以⽤上⾯的find命令看⼀下openssl所在的路径，以及include/openssl所在的路径"4.4、编译安装OpenSSH`备份原有的ssh⽬录`[root@localhost ~]# mv /etc/ssh{,.bak}[root@localhost ~]# mkdir /usr/local/openssh[root@localhost ~]# cd openssh-8.4p1/[root@localhost openssh-8.4p1]# ./configure --prefix=/usr/local/openssh \--sysconfdir=/etc/ssh \--with-openssl-includes=/usr/local/include \--with-ssl-dir=/usr/local/lib64 \--with-zlib \--with-md5-passwords \--with-pam && \make && \make install4.4.1、配置sshd_config⽂件[root@localhost ~]# echo"UseDNS no" >> /etc/ssh/sshd_config[root@localhost ~]# echo'PermitRootLogin yes' >> /etc/ssh/sshd_config[root@localhost ~]# echo'PubkeyAuthentication yes' >> /etc/ssh/sshd_config[root@localhost ~]# echo'PasswordAuthentication yes' >> /etc/ssh/sshd_config`如果是图形化界⾯，需要x11的话，需要配置如下`[root@localhost ~]# echo"X11Forwarding yes" >> /etc/ssh/sshd_config[root@localhost ~]# echo"X11UseLocalhost no" >> /etc/ssh/sshd_config [root@localhost ~]# echo"XAuthLocation /usr/bin/xauth" >> /etc/ssh/sshd_config4.4.2、创建新的sshd⼆进制⽂件[root@localhost ~]# mv /usr/sbin/sshd{,.bak}[root@localhost ~]# mv /usr/bin/ssh{,.bak}[root@localhost ~]# mv /usr/bin/ssh-keygen{,.bak}[root@localhost ~]# ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh[root@localhost ~]# ln -s /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen[root@localhost ~]# ln -s /usr/local/openssh/sbin/sshd /usr/sbin/sshd`查看openssh当前版本`[root@localhost ~]# ssh -VOpenSSH_8.4p1, OpenSSL 1.1.1i 8 Dec 20204.4.3、重新启动openssh服务[root@localhost ~]# systemctl disable sshd --now[root@localhost ~]# mv /usr/lib/systemd/system/sshd.service{,.bak}[root@localhost ~]# systemctl daemon-reload[root@localhost ~]# cp -a openssh-8.6p1/contrib/redhat/sshd.init /etc/init.d/sshd [root@localhost ~]# cp -a openssh-8.6p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pam [root@localhost ~]# chkconfig --add sshd[root@localhost ~]# systemctl enable sshd --now4.5、ssh链接成功后的处理[root@localhost ~]# ssh root@192.168.******`成功连接上之后，可以关闭telnet服务，当然，也可以不关闭`[root@localhost ~]# systemctl disable xinetd.service --now[root@localhost ~]# systemctl disable telnet.socket --now。

openssl升级1、查看操作系统版本：cat /etc/redhat-releaseRed Hat Enterprise Linux Server release 5.4 (Tikanga)2、查看当前系统openssl软件包版本信息rpm -qa |grep opensslopenssl-devel-0.9.8e-12.el5openssl-0.9.8e-12.el5openssl-devel-0.9.8e-12.el5openssl-0.9.8e-12.el53、查看openssh软件版本信息rpm -qa |grep opensshopenssh-askpass-4.3p2-36.el5openssh-server-4.3p2-36.el5openssh-4.3p2-36.el5openssh-clients-4.3p2-36.el54、备份旧版本openssl重要⽂件，以防升级失败后openssl⽆法正常运⾏mv /lib/libcrypto.so.6 /lib/libcrypto.so.6.bakmv /lib/libssl.so.6 /lib/libssl.so.6.bakmv /lib64/libcrypto.so.6 /lib64/libcrypto.so.6.bakmv /lib64/libssl.so.6 /lib64/libssl.so.6.bak/usr/local/ssl/bin/openssl versionOpenSSL 0.9.8y 5 Feb 2013-----------------------------------------------------------------------------5、编译安装新版本tar zxvf openssl-1.0.1e.tar.gzcd openssl-1.0.1e./config sharedmakemake install/usr/local/ssl/bin/openssl versionOpenSSL 1.0.1e 11 Feb 2013mv /usr/bin/openssl /usr/bin/openssl.bakcp /usr/local/ssl/bin/openssl /usr/bin/ldd /usr/bin/openssllibssl.so.1.0.0 => /usr/local/ssl/lib/libssl.so.1.0.0 (0x00002b3886fc8000)libcrypto.so.1.0.0 => /usr/local/ssl/lib/libcrypto.so.1.0.0 (0x00002b388722d000) libdl.so.2 => /lib64/libdl.so.2 (0x0000003f2f600000)libc.so.6 => /lib64/libc.so.6 (0x0000003f2ee00000)/lib64/ld-linux-x86-64.so.2 (0x0000003f2ea00000)ln -s /usr/local/ssl/lib/libcrypto.so /lib/libcrypto.so.6ln -s /usr/local/ssl/lib/libssl.so /lib/libssl.soln -s /usr/local/ssl/lib/libcrypto.so /lib64/libcrypto.so.6ln -s /usr/local/ssl/lib/libssl.so /lib64/libssl.soecho /usr/local/ssl/lib >> /etc/ld.so.confldconfig -v6、查看新版本的安装路径及⽤户权限：[root@62SERVER openssl-1.0.1e]# which openssl/usr/bin/openssl[root@62SERVER openssl-1.0.1e]# ls -al /usr/bin/openssl-rwxr-xr-x 1 root root 586788 04-23 15:37 /usr/bin/openssl7、安装成功后查看新版本的openssl版本[root@62SERVER openssl-1.0.1e]# /usr/bin/openssl versionOpenSSL 1.0.1e 11 Feb 2013五、风险应急⽅案如升级openssl后，发现⽆法正常运⾏，请马上进⾏回退操作后，回退操作如下：mv /lib/libcrypto.so.6.bak /lib/libcrypto.so.6mv /lib/libssl.so.6.bak /lib/libssl.so.6mv /lib64/libcrypto.so.6.bak /lib64/libcrypto.so.6.bakmv /lib64/libssl.so.6.bak /lib64/libssl.so.6.bak。