附012.CentOS升级Openssl

1        背景

1.1        bug背景

对于openssl，其版本低于1.1.1l会存在重大漏洞。

同时CentOS7默认自带的openssl版本为1.0.2k，

其中OpenSSH 低于 8.3p1同样存在重大漏洞，建议对OpenSSH和OpenSSL进行升级，且OpenSSL和OpenSSH依赖共存。

工作中，可能存在需要升级OpenSSL组件的情况，特此总结分享。

2        升级操作

2.1        查看版本

查看现有版本。

1. [root@opensshvm ~]# cat /etc/redhat-release
   
2. CentOS Linux release 7.6.1810 (Core)
   
3. 
   
4. [root@opensshvm ~]# openssl version
   
5. OpenSSL 1.0.2k-fips  26 Jan 2017
   
6. 
   
7. [root@opensshvm ~]# ssh -V
   
8. OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

复制代码

2.2        升级准备

建议升级之前做如下准备，避免出现异常：

• 安装相关编译所需软件（略）
• 关闭防火墙
• 关闭SELinux
• 备份ssh文件
• 开启多个窗口
  
  

2.2.1        安装依赖

安装编译所需依赖包。

1. [root@opensshvm ~]# yum install  -y gcc gcc-c++ glibc make autoconf pcre-devel pam-devel zlib-devel

复制代码

2.2.2        关闭安全组件

1. [root@opensshvm ~]# sed -i 's/=enforcing/=disabled/g' /etc/selinux/config
   
2. 
   
3. [root@opensshvm ~]# systemctl disable firewalld.service --now

复制代码

2.2.3        备份SSH

对现有SSH相关文件/目录进行备份。

1. [root@opensshvm ~]# mv /usr/bin/ssh /usr/bin/ssh.bak
   
2. [root@opensshvm ~]# mv /usr/sbin/sshd /usr/sbin/sshd.bak
   
3. 
   
4. [root@opensshvm ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
   
5. [root@opensshvm ~]# mv /etc/ssh/ /etc/ssh.bak                                        #也可直接备份整个目录
   
6. 
   
7. [root@opensshvm ~]# mv /usr/lib/systemd/system/sshd.service .

复制代码

2.3        升级OpenSSL

2.3.1        下载文件

建议从官方进行下载：https://www.openssl.org

官方中提供了其他下载链接：https://www.openssl.org/source/mirror.html

1. [root@opensshvm ~]# cd /tmp/
   
2. [root@opensshvm tmp]# wget https://www.openssl.org/source/openssl-1.1.1o.tar.gz
   
3. 
   
4. [root@opensshvm tmp]# tar -zxvf openssl-1.1.1o.tar.gz
   
5. [root@opensshvm tmp]# cd openssl-1.1.1o/
   
6. [root@opensshvm openssl-1.1.1o]# ./config --prefix=/usr/local/openssl no-zlib
   
7. [root@opensshvm openssl-1.1.1o]# make && make install
   
8. 
   
9. [root@opensshvm openssl-1.1.1o]# mv /usr/bin/openssl /usr/bin/openssl.bak
   
10. 
    
11. [root@opensshvm openssl-1.1.1o]# ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
    
12. [root@opensshvm openssl-1.1.1o]# ln -snf /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
    
13. [root@opensshvm openssl-1.1.1o]# ln -snf /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
    
14. [root@opensshvm openssl-1.1.1o]# ln -s /usr/local/openssl/include/openssl /usr/include/openssl
    
15. [root@opensshvm openssl-1.1.1o]# ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/local/lib64/libssl.so
    
16. 
    
17. [root@opensshvm openssl-1.1.1o]# echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
    
18. 
    
19. [root@opensshvm openssl-1.1.1o]# penssl version
    
20. OpenSSL 1.1.1o  3 May 2022

复制代码

2.4        升级OpenSSH

2.4.1        下载文件

建议从官方进行下载：https://www.openssh.com/openbsd.html

官方中也提供了国内下载链接：https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.0p1.tar.gz

1. [root@opensshvm ~]# cd /tmp/
   
2. [root@opensshvm tmp]# wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.0p1.tar.gz
   
3. [root@opensshvm tmp]# tar -zxvf openssh-9.0p1.tar.gz
   
4. [root@opensshvm tmp]# cd openssh-9.0p1/
   
5. [root@opensshvm openssh-9.0p1]# ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --with-tcp-wrappers --mandir=/usr/share/man
   
6. 
   
7. [root@opensshvm openssh-9.0p1]# make && make install

复制代码

2.4.2        修改权限（非必须）

针对升级后的某些文件权限过大，建议缩小。

1. [root@opensshvm openssh-9.0p1]# chmod 600 /etc/ssh/sshd_config /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key

复制代码

2.4.3        恢复配置

OpenSSH编译安装后，会将sshd_config恢复为对应版本默认配置，可使用原配置文件进行恢复。

1. [root@opensshvm ~]# cp /etc/ssh.bak/sshd_config /etc/ssh/sshd_config
   
2. 
   
3. [root@opensshvm ~]# cp -a /usr/local/openssh/sbin/sshd /usr/sbin/sshd
   
4. [root@opensshvm ~]# \cp -a /usr/local/openssh/bin/* /usr/bin/

复制代码

提示：若原配置文件没有特定配置，也可直接修改新版本默认sshd_config，以下配置项可供参考：

1. [root@opensshvm ~]# vim /etc/ssh/sshd_config
   
2. ……
   
3. Port 22
   
4. ……
   
5. HostKey /etc/ssh/ssh_host_rsa_key
   
6. HostKey /etc/ssh/ssh_host_ecdsa_key
   
7. 
   
8. HostKey /etc/ssh/ssh_host_ed25519_key
   
9. ……
   
10. SyslogFacility AUTH
    
11. ……
    
12. PermitRootLogin yes
    
13. ……
    
14. AuthorizedKeysFile        .ssh/authorized_keys
    
15. ……
    
16. PasswordAuthentication yes
    
17. ……
    
18. GSSAPIAuthentication yes
    
19. GSSAPICleanupCredentials no
    
20. ……
    
21. X11Forwarding yes
    
22. ……
    
23. PrintMotd no
    
24. ……
    
25. UseDNS no
    
26. ……
    
27. Subsystem        sftp        /usr/local/openssh/libexec/sftp-server

复制代码

2.5        开机启动

由于编译安装的openssh为Init进程，而非CentOS7的Systemd进程，因此需要手动重新配置开机启动。

1. [root@opensshvm ~]# cp /tmp/openssh-9.0p1/contrib/redhat/sshd.init /etc/init.d/sshd
   
2. [root@opensshvm ~]# chmod +x /etc/init.d/sshd
   
3. [root@opensshvm ~]# systemctl daemon-reload
   
4. [root@opensshvm ~]# chkconfig --add sshd
   
5. [root@opensshvm ~]# chkconfig --list
   
6. ……
   
7. netconsole             0:off        1:off        2:off        3:off        4:off        5:off        6:off
   
8. network                0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
9. sshd                   0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
10. 
    
11. [root@opensshvm ~]# reboot

复制代码

2.6        确认验证

重启后查看相关服务。

1. [root@opensslvm ~]# systemctl is-active sshd
   
2. active
   
3. [root@opensslvm ~]# netstat -tlunp | grep ssh
   
4. tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1278/sshd: /usr/sbi
   
5. tcp6       0      0 :::22                   :::*                    LISTEN      1278/sshd: /usr/sbi
   
6. 
   
7. [root@opensslvm ~]# ssh -V
   
8. OpenSSH_9.0p1, OpenSSL 1.1.1o  3 May 2022

复制代码

每日打卡学习，感谢分享，学习了！！！

感谢楼主的精彩分享，有助工作!!!

感谢楼主分享，每日学习打卡

很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

感谢分享，日常学习。。。。。

感谢分享，日常学习。。。。。

感谢楼主的分享，学习到了。

感谢分享，日常学习。。。。。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~