Redhat 6.7 x64升級SSH到OpenSSH_7.4p1文檔

導語

      Redhat企業級系統的6.7版自帶SSH版本爲OpenSSH_5.3p1, 基於審計和安全性需求，建議將其升級到最新的OpenSSH版本，當前官網最新版本爲7.4p1. 本文檔將詳細介紹OpenSSH升級的完整步驟。須要說明的是，升級過程當中雖然涉及zlib、openssl和openssh的卸載，可是並不會致使當前的ssh遠程鏈接會話斷開，所以是能夠將整個升級過程寫成自動化腳本以進行自動批量部署的。

步驟

一、準備工做

1.一、下載相關軟件包

    OpenSSH須要依賴zlib和OpenSSL，所以須要從官網下載三者的源碼包。須要注意的是：OpenSSH最新版7.4p1依賴的OpenSSL版本爲1.0.2k，而不是其最新版1.1.0e（使用此版會升級失敗）,ZLIB可使用最新版1.2.11。redhat6.7自帶的zlib版本爲1.2.3，也可不進行升級。 三者源碼下載地址：

http://www.zlib.net/
http://www.openssl.org/
http://www.openssh.org/

1.二、查看系統當前軟件版本

# rpm -q zlib
# openssl version
# ssh -V

1.三、配置本地yum源

    因安裝相關工具和編譯源碼須要先安裝部分軟件包，所以須要先配置好本地yum源（若有遠程yum源更好），配置方法以下：

    A、將操做系統鏡像上傳到服務器中，進行掛載

# mount -o loop rhel-server-6.7-x86_64-dvd.iso /mnt        #此處掛載目錄可自行指定

    B、配置yum源文件

# cd /etc/yum.repos.d
# rm -rf *                     #刪除當前全部yum源文件
# vi rhel6.7.repo
# cat rhel6.7repo           #向新建的yum源文件中加入以下內容
[Server]
name=RHELServer
baseurl=file:///mnt/Server
enabled=1
gpgcheck=0
[ResilientStorage]
name=RHELResilientStorage
baseurl=file:///mnt/ResilientStorage
enabled=1
gpgcheck=0
[ScalableFileSystem]
name=RHELScalableFileSystem
baseurl=file:///mnt/ScalableFileSystem
enabled=1
gpgcheck=0
[HighAvailability]
name=RHELHighAvailability
baseurl=file:///mnt/HighAvailability
enabled=1
gpgcheck=0
[LoadBalancer]
name=RHELLoadBalancer
baseurl=file:///mnt/LoadBalancer
enabled=1
gpgcheck=0
# yum clean all       #清除yum緩存，使當前配置生效
# yum list            #查看是否配置成功

1.四、安裝telnet服務並啓用

    因升級OpenSSH過程當中須要卸載現有OpenSSH, 所以爲了保持服務器的遠程鏈接可用，須要啓用telnet服務做爲替代，如升級出現問題，也可經過telnet登陸服務器進行回退。

    A、安裝telnet服務

# yum -y install telnet-server*

    B、啓用telnet

  先關閉防火牆，不然telnet可能沒法鏈接

  # service iptables stop

  # chkconfig iptables off

# vi /etc/xinetd.d/telnet
將其中disable字段的yes改成no以啓用telnet服務
# mv /etc/securetty /etc/securetty.old    #容許root用戶經過telnet登陸
# service xinetd start                    #啓動telnet服務
# chkconfig xinetd on                     #使telnet服務開機啓動，避免升級過程當中服務器意外重啓後沒法遠程登陸系統
# telnet [ip]                             #新開啓一個遠程終端以telnet登陸驗證是否成功啓用

1.五、安裝編譯所需工具包

# yum -y install gcc pam-devel zlib-devel

二、正式升級

2.一、升級ZLIB

    A、解壓zlib_1.2.11源碼並編譯

# tar -zxvf zlib-1.2.11.tar.gz
# cd zlib-1.2.11
# ./configure --prefix=/usr
# make

    B、卸載當前zlib

    注意：此步驟必須在步驟A執行完畢後再執行，不然先卸載zlib後，/lib64/目錄下的zlib相關庫文件會被刪除，步驟A編譯zlib會失敗。（補救措施：從其餘相同系統的服務器上覆制/lib6四、/usr/lib和/usr/lib64目錄下的libcrypto.so.十、libssl.so.十、libz.so.一、libz.so.1.2.3四個文件到相應目錄便可。可經過whereis、locate或find命令找到這些文件的位置）

# rpm -e --nodeps zlib

    C、安裝以前編譯好的zlib

# 在zlib編譯目錄執行以下命令
# make install

    D、共享庫註冊

    zlib安裝完成後，會在/usr/lib目錄中生產zlib相關庫文件，須要將這些共享庫文件註冊到系統中。

# echo '/usr/lib' >> /etc/ld.so.conf
# ldconfig                    #更新共享庫cache

    或者採用以下方式也可：

# ln -s  /usr/lib/libz.so.1 libz.so.1.2.11
# ln -s  /usr/lib/libz.so libz.so.1.2.11
# ln -s  /usr/lib/libz.so.1 /lib/libz.so.1
# ldconfig

    可經過yum list命令驗證是否更新成功（更新失敗yum不可用），另外redhat和centos的5.*版本不支持高於1.2.3的zlib版本。

2.二、升級OpenSSL

    官方升級文檔：http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/openssl.html

    A、備份當前openssl

# find / -name openssl
/usr/lib64/openssl
/usr/bin/openssl
/etc/pki/ca-trust/extracted/openssl

# mv  /usr/lib64/openssl /usr/lib64/openssl.old
# mv  /usr/bin/openssl  /usr/bin/openssl.old
# mv  /etc/pki/ca-trust/extracted/openssl  /etc/pki/ca-trust/extracted/openssl.old

  以下兩個庫文件必須先備份，因系統內部分工具（如yum、wget等）依賴此庫，而新版OpenSSL不包含這兩個庫

  # cp  /usr/lib64/libcrypto.so.10  /usr/lib64/libcrypto.so.10.old

  # cp  /usr/lib64/libssl.so.10  /usr/lib64/libssl.so.10.old

    B、卸載當前openssl

# rpm -qa | grep openssl
openssl-1.0.1e-42.el6.x86_64

# rpm -e --nodeps openssl-1.0.1e-42.el6.x86_64
# rpm -qa | grep openssl
或者直接執行此命令：rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}

    C、解壓openssl_1.0.2k源碼並編譯安裝

# tar -zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib    #必須加上--shared，不然編譯時會找不到新安裝的openssl的庫而報錯
# make
# make test                            #必須執行這一步結果爲pass才能繼續，不然即便安裝完成，ssh也沒法使用
# make install
# openssl version -a                   #查看是否升級成功

    D、恢復共享庫

    因爲OpenSSL_1.0.2k不提供libcrypto.so.10和libssl.so.10這兩個庫，而yum、wget等工具又依賴此庫，所以須要將先前備份的這兩個庫進行恢復，其餘的可視狀況考慮是否恢復。

# mv  /usr/lib64/libcrypto.so.10.old  /usr/lib64/libcrypto.so.10
# mv  /usr/lib64/libssl.so.10.old  /usr/lib64/libssl.so.10

2.三、升級OpenSSH

    官方升級文檔：http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html

    A、備份當前openssh

# mv /etc/ssh /etc/ssh.old

    B、卸載當前openssh

# rpm -qa | grep openssh
openssh-clients-5.3p1-111.el6.x86_64
openssh-server-5.3p1-111.el6.x86_64
openssh-5.3p1-111.el6.x86_64
openssh-askpass-5.3p1-111.el6.x86_64

# rpm -e --nodeps openssh-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64
# rpm -qa | grep openssh
或者直接執行此命令：rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}

    C、openssh安裝前環境配置

# install  -v -m700 -d /var/lib/sshd
# chown  -v root:sys /var/lib/sshd
# groupadd -g 50 sshd
# useradd  -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd

    D、解壓openssh_7.4p1源碼並編譯安裝

# tar -zxvf openssh-7.4p1.tar.gz
# cd openssh-7.4p1
# ./configure --prefix=/usr  --sysconfdir=/etc/ssh  --with-md5-passwords  --with-pam  --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd
# make
# make install

    E、openssh安裝後環境配置

# 在openssh編譯目錄執行以下命令
# install -v -m755    contrib/ssh-copy-id /usr/bin
# install -v -m644    contrib/ssh-copy-id.1 /usr/share/man/man1
# install -v -m755 -d /usr/share/doc/openssh-7.4p1
# install -v -m644    INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.4p1
# ssh -V              #驗證是否升級成功

    F、啓用OpenSSH服務

# 在openssh編譯目錄執行以下目錄
# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
# echo "PermitRootLogin yes" >> /etc/ssh/sshd_config   #容許root用戶經過ssh登陸
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# chmod +x /etc/init.d/sshd
# chkconfig  --add  sshd
# chkconfig  sshd  on
# chkconfig  --list  sshd
# service sshd restart
注意：若是升級操做一直是在ssh遠程會話中進行的，上述sshd服務重啓命令可能致使會話斷開並沒有法使用ssh再行登入（即ssh未能成功重啓），此時須要經過telnet登入再執行sshd服務重啓命令。

 

三、善後工做

    新開啓遠程終端以ssh [ip]登陸系統，確認一切正常升級成功後，只需關閉telnet服務以保證系統安全性便可。

# mv /etc/securetty.old /etc/securetty
# chkconfig  xinetd off
# service xinetd stop

  若有必要，可從新開啓防火牆

  # service iptables start

  # chkconfig iptables on

    如需還原以前的ssh配置信息，可直接刪除升級後的配置信息，恢復備份。

# rm -rf /etc/ssh
# mv /etc/ssh.old /etc/ssh