OpenSSH 9.3之前的版本存在各种各样的安全漏洞,为此,我们需要将OpenSSH升级到最新的9.3的版本。
执行:ssh -V,我们可以查看当前的openssh版本
为了避免升级过程中出现意外而导致服务器无法正常使用,建议操作前先对服务器进行快照备份!!!
1. 备份原有pam.d下的sshd文件
mv /etc/pam.d/sshd /etc/pam.d/sshd-bak
ls -l /etc/pam.d/sshd*
cp /etc/ssh/ /etc/ssh-bak/当备份pam.d下的sshd文件时,发现该路径下没有此文件时,可以从其他服务器拷贝一个过来,或是执行:vi /etc/pam.d/sshd 手敲也行,其内容如下:
#%PAM-1.0
auth substack password-auth
auth include postlogin
account required pam_sepermit.so
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session optional pam_motd.so
session include password-auth
session include postlogin2. 安装telnet
升级过程会卸载旧的ssh而导致无法远程,所以先安装一个Telnet。如果安装期间不使用服务器则可忽略telnet的安装(毕竟还有服务器的快照备份)
检查系统中是否已经安装了telnet的服务端和客户端,命令如下:
rpm -q telnet-server
rpm -q telnet当系统中没有安装telnet时,则会报如下信息:
执行命令进行安装telnet
yum install telnet-server -y
yum install telnet -y设置开机启动并启动telnet
systemctl enable telnet.socket
systemctl start telnet.socket防火墙开启23端口,使用 telnet ip 进行连接登录。默认系统中是不允许root用户使用telnet登录的,因此我们需要授权一下
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty当我们在进行登录时无法正常登录时,主机端执行
tail /var/log/secure假如我们看到的是:access denied: tty 'pts/3' is not secure !
此时我们如果看到的是pts几就将几添加一下
echo 'pts/3' >>/etc/securetty添加后一定要重启telnet
3. 下载openssh包进行升级
cd /opt/
wget http://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz解压
tar -zxvf openssh-9.3p1.tar.gz
cd openssh-9.3p1
卸载旧版本
rpm -e --nodeps `rpm -qa | grep openssh`安装相关依赖
yum -y install gcc pam-devel zlib-devel openssl-devel编译配置
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords --with-pam编译并安装
make && make install
文件授权
chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key
复制配置文件
cp -a contrib/redhat/sshd.init /etc/init.d/sshd
chmod u+x /etc/init.d/sshd还原配置文件
cp /etc/pam.d/sshd-bak /etc/pam.d/sshd
cp /etc/ssh-bak/sshd_config /etc/ssh/sshd_config添加开机自启
chkconfig --add sshd
chkconfig sshd on
执行:sshd -t 验证配置文件是否正确
此时我们已经看到这两个属性在当前openssh版本下不支持,我们进入配置文件,将这两个属性注释掉
vi /etc/ssh/sshd_config
重新启动sshd
systemctl restart sshd执行:ssh -V 此时我们已经可以看到openssh已经升级到了9.3
4. 升级过程遇到的坑
4.1 升级后ssh工具无法成功连接(或是连接上了,但是黑框打不开),找了很多资料,最终发现,问题出在了selinux上。此时我们只需要执行:setenforce 0 之后重启openssh的服务即可
setenforce 0
systemctl restart sshd到此我们会发现ssh工具已经能顺利连接服务器了
4.2 升级ssh工具后sftp窗口打不开,这个很好解决,只需要配置一下sshd_config即可轻松解决
vi /etc/ssh/sshd_config注释掉Subsystem那行,重新添加一行
文章来源:https://www.toymoban.com/news/detail-732792.html
重启openssh服务,注意正在使用的ssh工具也关闭掉重启一下(可能出于连接状态,但是sftp打不开。但此问题截止目前已经处理了,所以也需要关闭重新打开)。文章来源地址https://www.toymoban.com/news/detail-732792.html
到了这里,关于Linux操作系统升级低版本的OpenSSH到9.3的高版本的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
