隨着OpenSSH更新,之前的版本也存在了一些已知漏洞,給系統帶來安全風險,OpenSSH 8.4p1版本已經發布,OpenSSH 8.4 的一大變化是棄用 SHA-1 算法,ssh-rsa 公鑰簽名算法將在未來發布的版本中默認禁用。開發者稱,對 SHA-1 算法發動選擇前綴***的花費不到 5 萬美元,因此他們決定未來默認將其禁用。雖然存在更好的替代,但 SHA-1 算法至今仍然被廣泛使用。可選的替代算法包括:RFC8332 RSA SHA-2 簽名算法 rsa-sha2-256/512;ssh-ed25519 簽名算法;RFC5656 ECDSA 算法ecdsa-sha2-nistp256/384/521。
一、升級說明
1、升級OpenSSH後,原有公鑰失效,信任關係需要重新配置;
2、升級過程需要停止sshd服務,會導致ssh和sftp無法使用;
3、升級需要關閉防火牆服務;
4、升級需要關閉selinux服務;
5、升級前需要開啓telnet,防止升級失敗,系統無法登錄,對應的防火牆需要開啓23端口,安裝需要telnet相關依賴包
6、升級過程中需要刷新lib庫:ldconfig -v;
7、升級順序:順序是zlib庫-> openssl -> openssh;
8、升級需要gcc、make、perl、zlib、zlib-devel、pam、pam-devel等依賴包;
二、升級準備
1、確保YUM功能可用;
2、下載下面的安裝包上傳到系統;
zlib-1.2.11.tar.gz openssl-1.0.2r.tar.gz openssh-8.4p1.tar.gz 請移步這裏進行下載~
三、升級操作
按下面步驟進行操作,考慮到不同系統配置環境不通,建議預先進行測試。請務必開啓telnet,以免升級過程中斷導致無法連接系統。
1、爲了方便升級操作,我們先刷新YUM緩存,順便可以檢測YUM能不能正常使用
執行命令,等待緩存刷新完畢,如果報錯,則說明YUM不能用,請解決後再進行升級操作
yum makecache
image.png
2、安裝啓動telnet服務端,以便升級失敗時能通過telnet協議登錄系統
執行命令,啓動telnet服務,如果未安裝服務,則通過YUM進行安裝
cp /etc/securetty /etc/securetty.bak
echo "pts/0" >> /etc/securetty
echo "pts/1" >> /etc/securetty
systemctl restart telnet.socket
systemctl restart xinetd
systemctl enable telnet.socket
systemctl enable xinetd
//未安裝服務或不能正常啓動時,執行下面命令進行安裝和配置
yum -y install xinetd telnet-server
cp /etc/securetty /etc/securetty.bak
echo "pts/0" >> /etc/securetty
echo "pts/1" >> /etc/securetty
systemctl restart telnet.socket
systemctl restart xinetd
systemctl enable telnet.socket
systemctl enable xinetd
image.png
3、爲避免防火牆和selinux造成影響,在升級過程中,建議將其關閉
執行下面的命令關閉selinux和firewall防火牆,使用iptables的系統建議也將其關閉
setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
systemctl stop firewalld
image.png
4、安裝依賴包組件,等待安裝完……
yum -y install gcc gcc-c++ make pam pam-devel openssl-devel pcre-devel perl zlib-devel
image.png
5、停止並卸載系統自帶ssh組件(之前編譯升級過的系統執行後會報錯,可忽略)
……
完成內容請點擊查看~Centos7 升級OpenSSH 8.4p1的詳細圖文步驟