まず、実験的な背景
そう、顧客はCentOSの7.2のOpenSSH v6.6.1以前のバージョンを使用しているため、SSHは、多くのセキュリティ上の脆弱性があります見つける自分のサーバーでスキャンし、サードパーティのセキュリティ会社を尋ねると、これらの脆弱性は、OpenSSHの新しいバージョンで修正されましたセキュリティ上の理由から、アップグレードする必要があります。
yumのリポジトリはOpenSSHの最新バージョンではありません、我々は、RPMインストールパッケージを作るopeenSShコンパイル公式ダウンロード元のパッケージから最新のを所有する必要があります。
クライアントは、ネットワーク外のサーバーを接続することはできませんので、オフラインアップグレードパッケージを行う必要があるため。
第二に、実験環境
オペレーティングシステム:CentOS7.2 Mininal
サーバA 192.168.1.104アナログ開発マシンは、オフラインアップグレードパッケージを作るために、ネットワークに接続することができます
サーバB 192.168.1.106は、クライアント・サーバ、ネットワーキングない、OpenSSHの関連パッケージとその依存古いバージョンをシミュレート
第三に、実験に期待されています
関連するコンパイラのダウンロードに依存SeveraのOpenSSHの上で行われ、キーアップグレードスクリプトを記入し、サーバBでのアップグレードのOpenSSHドラッグを完了します。
現在のバージョンは、最新のOpenSSHのソースパッケージのopenssh-7.9p1.tar.gzです
第四に、実験的な操作
サーバAで
#yumを-yインストールのvimのwget EPELリリース
#yumを-yインストールRPMビルドのgccのmake
libXt-develのxmkmfを#yumを-yインストールのopensslのopenssl-develのkrb5の-develのPAM-develのlibX11-develの
#wgetのhttp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
#タール-zxfのopenssh-7.9p1.tar.gz
#1は、mkdir -p /ルート/ rpmbuildの/ {SOURCES、SPECS}
#cpは./openssh-7.9p1/contrib/redhat/openssh.spec /ルート/ rpmbuildの/ SPECS /
#cpはopensshの-7.9p1.tar.gz /ルート/ rpmbuildの/ SOURCES /
ます。#cd /ルート/ rpmbuildの/ SPECS /
#SED -i -e "S /%no_gnome_askpass 0 /%を定義no_gnome_askpass 1 / Gを定義" openssh.spec
#SED -i -e "S /%no_x11_askpass 0 /%を定義no_x11_askpass 1 / Gを定義" openssh.spec
#SED -i -e "S / BuildPreReq / BuildRequires / gの" openssh.spec
#SED -i -e "S / BuildRequires:OpenSSLの-develの<1.1 /#BuildRequires:OpenSSLの-develの<1.1 / G" openssh.spec
#rpmbuildの-BB openssh.spec
グッドコンパイルされたファイルは、/ルート/ rpmbuildの/ RPMS / x86_64版/ディレクトリに置かれています。
#のLL /ルート/ rpmbuildの/ RPMS / x86_64版
上記の操作はスクリプト:
#猫のbuild.sh
################################################## ###
#!/ binに/ bashの
OPENSSH_VERSION = 7.9p1
YUMのvimのwget EPEL-リリースをインストール-y
yumのRPMビルドのgccのmakeをインストール-y
yumをlibXt-develのxmkmfをのopensslのopenssl-develのkrb5の-develのPAM-develのlibX11-develのインストール-y
#CD /ルート
wgetのhttp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-${OPENSSH_VERSION}.tar.gz
opensshの-zxfタール - $ {} .tar.gzのOPENSSH_VERSION
MKDIR -p /ルート/ rpmbuildの/ {SOURCES、SPECS}
CP ./openssh-${OPENSSH_VERSION}/contrib/redhat/openssh.spec /ルート/ rpmbuildの/ SPECS /
CPののopenssh - $ {OPENSSH_VERSION} .tar.gzを/ルート/ rpmbuildの/ SOURCES /
CD /ルート/ rpmbuildの/ SPECS /
SED -i -e "S /%定義0 /%が1 / G no_gnome_askpass定義no_gnome_askpass" openssh.spec
SED -i -e "S /%定義0 /%が1 / G no_x11_askpass定義no_x11_askpass" openssh.spec
SED -i -e "S / BuildPreReq / BuildRequires / gの" openssh.spec
SED -i -e "S / BuildRequiresます。openssl-develの<1.1 /#BuildRequiresます。openssl-develの<1.1 /グラム" openssh.spec
rpmbuildの-BB openssh.spec
LS -l /ルート/ rpmbuildの/ RPMS / x86_64版
################################################## ######
第五に、OpenSSHは開発マシン上でテストをアップグレードします
サーバAで
ます。#cd /ルート/ rpmbuildの/ RPMS / x86_64版
#タコメータ-Uvh * .rpmを
#のrpm -qa | grepのののopenssh
彼らは失敗したとき、もともとこれは、我々は、アップグレード完了しますが、クライアントから上陸です!
最初に私たちは何度か投げ、質問に自分のrpmパッケージを生成するために考え、最終的に結果はデフォルトの設定が誤っているがわかりました。
アクセス権は、キーファイルを変更する必要があり、SSHキーモード、あまりにも許可デフォルトのホストキーの文書を使用してログインすることはできません
#北韓の/ etc / sshを/ ssh_host _ * _キー
#chmodの600の/ etc / sshを/ ssh_host _ * _キー
#北韓の/ etc / sshを/ ssh_host _ * _キー
ログオンするためのデフォルトのパスワードを使用することを許可されていないのOpenSSHアップグレードした後、我々は、設定ファイルを変更する必要があります。
#cpはは、/ etc / ssh / sshd_config /etc/ssh/sshd_config.bak
#SED -i -e "S /#PasswordAuthenticationをはい/ PasswordAuthenticationをはい/ G" は、/ etc / ssh / sshd_config
#SED -i -e "S /#のPermitRootLogin禁止-パスワード/のPermitRootLoginはい/ G" は、/ etc / ssh / sshd_config
#SED -i -e "S /#PermitEmptyPasswords NO / PermitEmptyPasswords NO / G" の/ etc / SSH / sshd_configの
#SED -i -e "S /#UsePAMなし/ UsePAMはい/ G" は、/ etc / ssh / sshd_config
默认的 /etc/pam.d/sshd 中使用了过时的 pam_stack.so 动态库,需要更新:
# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
# cat > /etc/pam.d/sshd <<EOF
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
EOF
重启ssh服务,查看服务状态:
# systemctl restart sshd
# systemctl enable sshd
# systemctl status sshd
你会发现,升级后的sshd服务,是用的启动脚本,不是/usr/lib/systemd/system/sshd.service文件了。
实际上升级过程中,程序已经将 /usr/lib/systemd/system/sshd.service 删除了,并且添加了服务启动脚本 /etc/init.d/sshd
细心的你还会发现,升级完后,我们经常用于做免密登录的公钥拷贝命令 ssh-copy-id也没有了!
其实不是没有了,而是我们需要去解压后源码包拷贝到/usr/bin/目录
# cp /root/openssh-7.9p1/contrib/ssh-copy-id /usr/bin/
# chmod 755 /usr/bin/ssh-copy-id
六、制作离线升级安装包
在serverA
# yum -y install yum-utils createrepo
# mkdir /root/localrepo
# repotrack openssl -p /root/localrepo/
你可能会疑惑:不是找opennsh相关包的依赖么,怎么找的是openssl了?
其实从上面安装可以,升级opennsh版本并不会缺少依赖,我们们只是需要相应地升级一下openssl的版本
那么
# cp /root/rpmbuild/RPMS/x86_64/*.rpm /root/localrepo
# createrepo -v /root/localrepo
编写离线升级安装脚本:
cat install.sh
######################################################
#!/bin/bash
# 定位脚本当前路径
parent_path=$( cd "$(dirname "${BASH_SOURCE}")"; pwd -P )
cd "$parent_path"
mkdir -p /etc/yum.repos.d/backup
mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/backup
rm -rf /tmp/localrepo
mkdir -p /tmp/localrepo
cp -rf ./localrepo/* /tmp/localrepo
echo "[localrepo]" > /etc/yum.repos.d/localrepo.repo
echo "name=Local Repository" >> /etc/yum.repos.d/localrepo.repo
echo "baseurl=file:///tmp/localrepo" >> /etc/yum.repos.d/localrepo.repo
echo "gpgcheck=0" >> /etc/yum.repos.d/localrepo.repo
echo "enabled=1" >> /etc/yum.repos.d/localrepo.repo
yum clean all
yum -y install openssl
yum -y install openssh* --disablerepo="*" --enablerepo="localrepo"
rm -rf /tmp/localrepo
rm -f /etc/yum.repos.d/localrepo.repo
mv /etc/yum.repos.d/backup/*.repo /etc/yum.repos.d
rm -rf /etc/yum.repos.d/backup
chmod 600 /etc/ssh/ssh_host_*_key
# modify /etc/ssh/sshd_config
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -i -e "s/#PasswordAuthentication yes/PasswordAuthentication yes/g" /etc/ssh/sshd_config
sed -i -e "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
sed -i -e "s/#PermitEmptyPasswords no/PermitEmptyPasswords no/g" /etc/ssh/sshd_config
sed -i -e "s/#UsePAM no/UsePAM yes/g" /etc/ssh/sshd_config
# modify /etc/pam.d/sshd
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
cat > /etc/pam.d/sshd <<EOF
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
EOF
# copy ssh-copy-id
cp ssh-copy-id /usr/bin
chmod 755 /usr/bin/ssh-copy-id
systemctl restart sshd
systemctl enable sshd
systemctl status sshd
rpm -qa | grep open
systemctl status sshd| grep "Active: active (running)"
if [ $? -eq 0 ]; then
echo -e "\033[32m[INFO] OpenSSH upgraded to 7.9p1 successfully!\033[0m"
else
echo -e "\033[31m[ERROR] OpenSSH upgraded to 7.9p1 faild!\033[0m"
fi
##############################################################
打包离线安装包
# mkdir /root/opensshUpgrade
# cp install.sh /root/opensshUpgrade
# cp -r lcoalrepo /root/opensshUpgrade
# cp /root/openssh-7.9p1/contrib/ssh-copy-id /root/opensshUpgrade
# tar openssshUpgrade.tar.gz opensshUpgrade
七、离线安装升级openSSH
将离线升级安装包 openssshUpgrade.tar.gz拷贝到serverB 服务器
# tar -zxf openssshUpgrade.tar.gz
# cd openssshUpgrade
# bash install.sh | tee install.log
# rpm -qa | grep openssl
# rpm -qa | grep openssh
# systemctl status sshd
测试登录
[C:\~]$ ssh [email protected]
八、参考
Upgrade OpenSSH in CentOS 7
https://blog.forhot2000.cn/linux/2017/09/04/upgrade-openssh-in-centos-7.html
编译升级OpenSSH 7.9
https://blog.csdn.net/weixin_42123737/article/details/85283972
Centos 6.5升级openssh到7.9p1
https://blog.csdn.net/qq_25934401/article/details/83419849
openssh升级脚本分享(openssh-7.7p1版)
https://blog.csdn.net/GX_1_11_real/article/details/82152459
Upgrade OpenSSH to 7.7p1 in CentOS 6
https://docs.junyangz.com/upgrade-openssh-to-7.7p1-in-centos-6
createrepo生成仓库元数据,搭建本地yum源
https://www.jianshu.com/p/5cb5af152e75
解决离线安装依赖包的方法
https://www.jianshu.com/p/6f4f9a80a726