【OpenSSHの方法】CentOSの7.xのでOpenSSHをアップグレードするには？

まず、実験的な背景

そう、顧客はCentOSの7.2のOpenSSH v6.6.1以前のバージョンを使用しているため、SSHは、多くのセキュリティ上の脆弱性があります見つける自分のサーバーでスキャンし、サードパーティのセキュリティ会社を尋ねると、これらの脆弱性は、OpenSSHの新しいバージョンで修正されましたセキュリティ上の理由から、アップグレードする必要があります。

 

 

yumのリポジトリはOpenSSHの最新バージョンではありません、我々は、RPMインストールパッケージを作るopeenSShコンパイル公式ダウンロード元のパッケージから最新のを所有する必要があります。

クライアントは、ネットワーク外のサーバーを接続することはできませんので、オフラインアップグレードパッケージを行う必要があるため。

第二に、実験環境

オペレーティングシステム：CentOS7.2 Mininal

サーバA 192.168.1.104アナログ開発マシンは、オフラインアップグレードパッケージを作るために、ネットワークに接続することができます

サーバB 192.168.1.106は、クライアント・サーバ、ネットワーキングない、OpenSSHの関連パッケージとその依存古いバージョンをシミュレート

第三に、実験に期待されています

関連するコンパイラのダウンロードに依存SeveraのOpenSSHの上で行われ、キーアップグレードスクリプトを記入し、サーバBでのアップグレードのOpenSSHドラッグを完​​了します。

現在のバージョンは、最新のOpenSSHのソースパッケージのopenssh-7.9p1.tar.gzです

第四に、実験的な操作

サーバAで

＃yumを-yインストールのvimのwget EPELリリース

＃yumを-yインストールRPMビルドのgccのmake

libXt-develのxmkmfを＃yumを-yインストールのopensslのopenssl-develのkrb5の-develのPAM-develのlibX11-develの

＃wgetのhttp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz

＃タール-zxfのopenssh-7.9p1.tar.gz

＃1は、mkdir -p /ルート/ rpmbuildの/ {SOURCES、SPECS}

＃cpは./openssh-7.9p1/contrib/redhat/openssh.spec /ルート/ rpmbuildの/ SPECS /

＃cpはopensshの-7.9p1.tar.gz /ルート/ rpmbuildの/ SOURCES /

ます。＃cd /ルート/ rpmbuildの/ SPECS /

＃SED -i -e "S /％no_gnome_askpass 0 /％を定義no_gnome_askpass 1 / Gを定義" openssh.spec

＃SED -i -e "S /％no_x11_askpass 0 /％を定義no_x11_askpass 1 / Gを定義" openssh.spec

＃SED -i -e "S / BuildPreReq / BuildRequires / gの" openssh.spec

＃SED -i -e "S / BuildRequires：OpenSSLの-develの<1.1 /＃BuildRequires：OpenSSLの-develの<1.1 / G" openssh.spec

＃rpmbuildの-B​​B openssh.spec

 

グッドコンパイルされたファイルは、/ルート/ rpmbuildの/ RPMS / x86_64版/ディレクトリに置かれています。

＃のLL /ルート/ rpmbuildの/ RPMS / x86_64版

 

上記の操作はスクリプト：

＃猫のbuild.sh

################################################## ###

＃！/ binに/ bashの

OPENSSH_VERSION = 7.9p1

YUMのvimのwget EPEL-リリースをインストール-y

yumのRPMビルドのgccのmakeをインストール-y

yumをlibXt-develのxmkmfをのopensslのopenssl-develのkrb5の-develのPAM-develのlibX11-develのインストール-y

＃CD /ルート

wgetのhttp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-${OPENSSH_VERSION}.tar.gz

opensshの-zxfタール - $ {} .tar.gzのOPENSSH_VERSION

MKDIR -p /ルート/ rpmbuildの/ {SOURCES、SPECS}

CP ./openssh-${OPENSSH_VERSION}/contrib/redhat/openssh.spec /ルート/ rpmbuildの/ SPECS /

CPののopenssh - $ {OPENSSH_VERSION} .tar.gzを/ルート/ rpmbuildの/ SOURCES /

CD /ルート/ rpmbuildの/ SPECS /

SED -i -e "S /％定義0 /％が1 / G no_gnome_askpass定義no_gnome_askpass" openssh.spec

SED -i -e "S /％定義0 /％が1 / G no_x11_askpass定義no_x11_askpass" openssh.spec

SED -i -e "S / BuildPreReq / BuildRequires / gの" openssh.spec

SED -i -e "S / BuildRequiresます。openssl-develの<1.1 /＃BuildRequiresます。openssl-develの<1.1 /グラム" openssh.spec

rpmbuildの-B​​B openssh.spec

LS -l /ルート/ rpmbuildの/ RPMS / x86_64版

################################################## ######

 

 

第五に、OpenSSHは開発マシン上でテストをアップグレードします

サーバAで

ます。＃cd /ルート/ rpmbuildの/ RPMS / x86_64版

＃タコメータ-Uvh * .rpmを

 

＃のrpm -qa | grepのののopenssh

 

 

彼らは失敗したとき、もともとこれは、我々は、アップグレード完了しますが、クライアントから上陸です！

 

最初に私たちは何度か投げ、質問に自分のrpmパッケージを生成するために考え、最終的に結果はデフォルトの設定が誤っているがわかりました。

アクセス権は、キーファイルを変更する必要があり、SSHキーモード、あまりにも許可デフォルトのホストキーの文書を使用してログインすることはできません

＃北韓の/ etc / sshを/ ssh_host _ * _キー

＃chmodの600の/ etc / sshを/ ssh_host _ * _キー

＃北韓の/ etc / sshを/ ssh_host _ * _キー

 

ログオンするためのデフォルトのパスワードを使用することを許可されていないのOpenSSHアップグレードした後、我々は、設定ファイルを変更する必要があります。

＃cpはは、/ etc / ssh / sshd_config /etc/ssh/sshd_config.bak

＃SED -i -e "S /＃PasswordAuthenticationをはい/ PasswordAuthenticationをはい/ G" は、/ etc / ssh / sshd_config

＃SED -i -e "S /＃のPermitRootLogin禁止-パスワード/のPermitRootLoginはい/ G" は、/ etc / ssh / sshd_config

＃SED -i -e "S /＃PermitEmptyPasswords NO / PermitEmptyPasswords NO / G" の/ etc / SSH / sshd_configの

＃SED -i -e "S /＃UsePAMなし/ UsePAMはい/ G" は、/ etc / ssh / sshd_config

 

默认的 /etc/pam.d/sshd 中使用了过时的 pam_stack.so 动态库，需要更新：

# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak

# cat >  /etc/pam.d/sshd  <<EOF

#%PAM-1.0

auth required pam_sepermit.so

auth include password-auth

account required pam_nologin.so

account include password-auth

password include password-auth

# pam_selinux.so close should be the first session rule

session required pam_selinux.so close

session required pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session required pam_selinux.so open env_params

session optional pam_keyinit.so force revoke

session include password-auth

EOF

 

重启ssh服务，查看服务状态：

# systemctl restart sshd

# systemctl enable  sshd

# systemctl status sshd

你会发现，升级后的sshd服务，是用的启动脚本，不是/usr/lib/systemd/system/sshd.service文件了。

实际上升级过程中，程序已经将 /usr/lib/systemd/system/sshd.service 删除了，并且添加了服务启动脚本 /etc/init.d/sshd

细心的你还会发现，升级完后，我们经常用于做免密登录的公钥拷贝命令 ssh-copy-id也没有了！

其实不是没有了，而是我们需要去解压后源码包拷贝到/usr/bin/目录

# cp /root/openssh-7.9p1/contrib/ssh-copy-id  /usr/bin/

# chmod  755  /usr/bin/ssh-copy-id

 

六、制作离线升级安装包

 

在serverA

# yum -y install  yum-utils createrepo

# mkdir  /root/localrepo

# repotrack  openssl  -p /root/localrepo/

 

你可能会疑惑：不是找opennsh相关包的依赖么，怎么找的是openssl了？

其实从上面安装可以，升级opennsh版本并不会缺少依赖，我们们只是需要相应地升级一下openssl的版本

那么

 

# cp  /root/rpmbuild/RPMS/x86_64/*.rpm  /root/localrepo

# createrepo -v    /root/localrepo

编写离线升级安装脚本：

cat install.sh

######################################################

#!/bin/bash

# 定位脚本当前路径

parent_path=$( cd "$(dirname "${BASH_SOURCE}")"; pwd -P )

cd "$parent_path"

mkdir -p /etc/yum.repos.d/backup

mv /etc/yum.repos.d/*.repo  /etc/yum.repos.d/backup

rm -rf /tmp/localrepo

mkdir -p /tmp/localrepo

cp -rf  ./localrepo/*  /tmp/localrepo

echo "[localrepo]"                              > /etc/yum.repos.d/localrepo.repo

echo "name=Local Repository"          >> /etc/yum.repos.d/localrepo.repo

echo "baseurl=file:///tmp/localrepo"    >> /etc/yum.repos.d/localrepo.repo

echo "gpgcheck=0"                              >> /etc/yum.repos.d/localrepo.repo

echo "enabled=1"                                >> /etc/yum.repos.d/localrepo.repo

yum clean all

yum -y  install openssl

yum -y install openssh*  --disablerepo="*" --enablerepo="localrepo"

rm -rf /tmp/localrepo

rm -f /etc/yum.repos.d/localrepo.repo

mv /etc/yum.repos.d/backup/*.repo  /etc/yum.repos.d

rm -rf /etc/yum.repos.d/backup

chmod 600  /etc/ssh/ssh_host_*_key

# modify /etc/ssh/sshd_config

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

sed -i -e "s/#PasswordAuthentication yes/PasswordAuthentication yes/g" /etc/ssh/sshd_config

sed -i -e "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config

sed -i -e "s/#PermitEmptyPasswords no/PermitEmptyPasswords no/g"      /etc/ssh/sshd_config

sed -i -e "s/#UsePAM no/UsePAM yes/g"                                  /etc/ssh/sshd_config

# modify /etc/pam.d/sshd

cp /etc/pam.d/sshd /etc/pam.d/sshd.bak

cat > /etc/pam.d/sshd <<EOF

#%PAM-1.0

auth required pam_sepermit.so

auth include password-auth

account required pam_nologin.so

account include password-auth

password include password-auth

# pam_selinux.so close should be the first session rule

session required pam_selinux.so close

session required pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session required pam_selinux.so open env_params

session optional pam_keyinit.so force revoke

session include password-auth

EOF

# copy ssh-copy-id

cp ssh-copy-id /usr/bin

chmod 755 /usr/bin/ssh-copy-id

systemctl restart sshd

systemctl enable sshd

systemctl status sshd

rpm -qa | grep open

systemctl status  sshd| grep  "Active: active (running)"

if [ $? -eq 0 ]; then

  echo -e "\033[32m[INFO] OpenSSH upgraded to 7.9p1  successfully！\033[0m"

else

  echo -e "\033[31m[ERROR] OpenSSH upgraded to 7.9p1 faild！\033[0m"

fi

##############################################################

 

打包离线安装包

# mkdir  /root/opensshUpgrade

# cp install.sh  /root/opensshUpgrade

# cp  -r  lcoalrepo /root/opensshUpgrade

# cp /root/openssh-7.9p1/contrib/ssh-copy-id  /root/opensshUpgrade

# tar openssshUpgrade.tar.gz  opensshUpgrade

七、离线安装升级openSSH

将离线升级安装包 openssshUpgrade.tar.gz拷贝到serverB 服务器

#  tar  -zxf  openssshUpgrade.tar.gz

# cd  openssshUpgrade

#  bash install.sh | tee install.log

 

 

# rpm -qa | grep openssl

# rpm -qa | grep openssh

 

# systemctl  status sshd

 

测试登录

[C:\~]$  ssh  [email protected]

 

八、参考

Upgrade OpenSSH in CentOS 7

https://blog.forhot2000.cn/linux/2017/09/04/upgrade-openssh-in-centos-7.html

编译升级OpenSSH 7.9

https://blog.csdn.net/weixin_42123737/article/details/85283972

Centos 6.5升级openssh到7.9p1

https://blog.csdn.net/qq_25934401/article/details/83419849

openssh升级脚本分享(openssh-7.7p1版)

https://blog.csdn.net/GX_1_11_real/article/details/82152459

Upgrade OpenSSH to 7.7p1 in CentOS 6

https://docs.junyangz.com/upgrade-openssh-to-7.7p1-in-centos-6

createrepo生成仓库元数据，搭建本地yum源

https://www.jianshu.com/p/5cb5af152e75

解决离线安装依赖包的方法

https://www.jianshu.com/p/6f4f9a80a726