本文共 2573 字，大约阅读时间需要 8 分钟。

SSH漏洞修复-----升级openssl和openssh最新版本

前提准备：

openssl下载地址：https://www.openssl.org/source/old/1.1.1/ openssh下载地址：https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/ **

下载完成后把包上传到要升级的服务器上

**

注意：必须要先升级ssl再升级ssh，避免在编译ssh的时候出现检测不到ssl问题出现

升级步骤：

1. 查看当前ssh和ssl版本信息

[root@ ~]# ssh -vOpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010

2. 备份当前版本的ssl文件

[root@ ~]# mv /usr/bin/openssl  /usr/bin/openssl.bak

3. 安装所需依赖（gcc gcc-c++ zlib zlib-devel）

[root@ ~]# yum -y install gcc gcc-c++ zlib zlib-devel

4 . 解压openssl包并进入openssl中

[root@CRM-Tomcat-1 ~]# tar -zxf openssl-1.1.1i.tar.gz [root@CRM-Tomcat-1 ~]# cd openssl-1.1.1i

4. 配置openssl存放位置以及信息位置

[root@CRM-Tomcat-1 openssl-1.1.1i]# ./config shared --openssldir=/usr/local/openssl --prefix=/usr/local/openssl

注：

有些文章只写./config

shared，其他参数都省略了，会导致新建的版本生成文件分布于/usr/local/下的多个目录。后续装openssh会有问题，单独升级openssl可以用，但不推荐，所以一定要加上–prefix和–openssldir参数

5. 编译并安装

[root@ openssl-1.1.1i]# make && make install

编译安装时间较长需等待

6. 创建openssl软连接，方便开启系统开启ssl

[root@ openssl-1.1.1i]# ln -s /usr/local/openssl/bin/openssl  /usr/bin/openssl

7. 添加动态函数库并更新函数库

[root@ openssl-1.1.1i]# echo "/usr/local/openssl/lib" >> /etc/ld.so.conf[root@ openssl-1.1.1i]# ldconfig -v

8. 查看更新后的ssl版本

[root@ openssl-1.1.1i]# openssl versionOpenSSL 1.1.1i  8 Dec 2020

openssl升级完成。

升级openssh最新版本

1. 解压缩openssh二进制包

[root@ ~]# tar -zxf openssh-8.6p1.tar.gz [root@ ~]# cd openssh-8.6p1

2. 配置openssh的存放位置，以及指定ssh所需的依赖包位置

[root@ openssh-8.6p1]# ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-zlib=/usr/local/zlib

3. 备份老版ssh的一些文件

[root@ openssh-8.6p1]# cp -rap /etc/ssh /opt/[root@ openssh-8.6p1]# mv /usr/sbin/sshd /usr/sbin/sshd.bak[root openssh-8.6p1]# mv /usr/bin/ssh /usr/bin/ssh.bak[root@ openssh-8.6p1]# mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak

4. 编译并安装新版openssh

[root@ openssh-8.6p1]# make && make install

5. 为新版openssh做软连接

[root@ openssh-8.6p1]# ln -s /usr/local/openssh/sbin/sshd /usr/sbin/sshd[root@ openssh-8.6p1]# ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh  [root@ openssh-8.6p1]# ln -s /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keyge

6. 新安装的ssh里的配置文件需要修改

注: 如不修改ssh文件下次登录可能会造成root用户或其他用户登录不上的情况。

[root@ openssh-8.6p1]# vim /etc/ssh/sshd_config      PermitRootLogin yes       #取消注释      PubkeyAuthentication yes   #取消注释      PasswordAuthentication yes #取消注释并确认是否是yes

7 .修改完成后重启sshd服务

[root@CRM-Tomcat-1 openssh-8.6p1]# service sshd restart Stopping sshd:                                             [  OK  ]Starting sshd:                                             [  OK  ]

8.验证ssh和ssl是否都升级完成

[root@ openssh-8.6p1]# ssh -VOpenSSH_8.6p1, OpenSSL 1.1.1i  8 Dec 2020

转载地址：http://hnqwi.baihongyu.com/