Openssh升级加固-欧拉Euler~21.10

一、环境准备

1.1 将tar包从5.35传至升级主机

1.1.1 下载openssh9.0(将tar包传至升级主机)

scp openssh-9.0p1.tar.gz 10.130.5.10:~/

1.2 远程主机并安装依赖

1.2.1 下载升级所需依赖包

yum -y install gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel zlib zlib-devel

1.2.2 安装openssh

tar zxvf /home/zzitcj/openssh-9.0p1.tar.gz -C /home/zzitcj/

二、安装openssh

2.1 备份原有的ssh目录

mkdir /opt/openssh_backup -p

cp -ar /etc/ssh* /opt/openssh_backup/

2.2 安装openssh

mkdir -p /usr/local/openssh

cd /home/zzitcj/openssh-9.0p1

./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl --with-zlib

# 看配置编译是否能通过，如果没问题则，进行make
make 

# 如果make没报错，则可以进行安装
make install

2.3 基础报错处理

# 如果报类似这样的错误， Permissions 0644 for ‘/etc/ssh/ssh_host_rsa_key’ are too open”，则是私钥key的权限给的太大，必须是600才行
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_dsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

三、配置相关配置

3.1 配置sshd_config文件

echo "UseDNS no" >> /etc/ssh/sshd_config
echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config
echo 'PubkeyAuthentication yes' >> /etc/ssh/sshd_config
echo 'PasswordAuthentication yes' >> /etc/ssh/sshd_config

3.2 创建新的sshd二进制文件

mkdir -p /opt/openssh_backup/usr/sbin/
mkdir -p /opt/openssh_backup/usr/bin/

mv /usr/sbin/sshd* /opt/openssh_backup/usr/sbin/
mv /usr/bin/ssh*  /opt/openssh_backup/usr/bin/

ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh
ln -s /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
ln -s /usr/local/openssh/sbin/sshd /usr/sbin/sshd

四、可以查看安装的新版本ssh了

ssh -V

五、处理systemctl管理sshd异常重启问题

# 配置system管理sshd服务，处理systemctl管理sshd异常重启问题
mv /tmp/chushihua/openssh_update/sshd /etc/init.d/sshd

mkdir /etc/ssh_bak

mv /usr/lib/systemd/system/sshd.service /etc/ssh_bak

六、重启sshd服务

systemctl daemon-reload

systemctl enable --now sshd

systemctl restart sshd