RedHat5 升级OpenSSH服务
需求:漏洞整改涉及到升级OpenSSH服务,服务器在内网无法使用yum源等。由于是生产环境,不可随便尝试,以下内容是在本地虚拟机模拟多遍后总结的,当然最终生产环境服务器SSH也升级成功。
一起来见证那些踩过的坑!!!
操作权限:使用root进行操作应该是没有悬念。 操作方式:使用源码编译安装,想偷懒使用rpm包安装,可是找不到合适的包和合适的教程。
准备
- 下载
OpenSSH当前最新版7.3p1
官网:http://www.openssh.com/
英文不好,第一次访问并未顺利找到源码包的下载地址。在左侧找到其中的For other OS's找到Linux点进去再往下拉找到,找一个合适的下载空间进去下载最新版即可。
这里直接提供一个版本下载链接:openssh-7.3p1.tar.gz - 由于系统比较老,很多缺省的软件包需要更新或者新装,在下面的教程安装中再一步步说明
配置与安装
解压
tar -zxvf openssh-7.3p1.tar.gz
cd openssh-7.3p1
编译安装目录
pwd
这就是我本机的安装目录/root/UpdateSSH/openssh-7.3p1,以后每一次编译均在此目录下完成,下面脚本中./configure之前均需要cd /root/UpdateSSH/openssh-7.3p1
编译
这里是根据经验使用一下编译配置
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords
以前还会加上--with-pam后来发现新版并不需要此配置,如果加上还要安装对应的依赖包,所以干脆不要了,省的麻烦。
**报错**日志如下(如果你直接成功了,那么恭喜你可以直接跳到安装步骤)
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: no acceptable C compiler found in $PATH
See 'config.log' for more details.
问题很明显,没有gcc,如果网络正常肯定立马yum install gcc修复此问题。
可惜服务器无法使用公网,最直接的解决办法是找到安装盘找到对应的RPM安装包和依赖包(我本机是使用如下脚本安装,注意安装顺序)
rpm -Uvh kernel-headers-2.6.18-164.el5.i386.rpm
rpm -Uvh glibc-headers-2.5-42.i386.rpm
rpm -Uvh glibc-devel-2.5-42.i386.rpm
rpm -Uvh libgomp-4.4.0-6.el5.i386.rpm
rpm -Uvh gcc-4.1.2-46.el5.i386.rpm
这里需要说明一点为什么需要安装以上包,因为我们首先想到的是安装gcc,可以安装过程会报错
可以根据报错信息找到依赖关系。 没有安装盘的可以使用其他可以上网设备将RPM包事先下好,可以访问镜像站寻找下载,这里采用此方式获取RPM安装包。
本次测试环境是RedHat,而镜像源没有,暂且使用CentOS源
首先你需要确认你的系统是什么版本,根据对应的版本下载安装包
lsb_release -a
这里测试机的版本5.4,所以下载的包中应该是包含el5
继续在终端查询操作系统位数
getconf LONG_BIT
这里查出来系统位数为32位,所以下载的包中应该是包含i386 所以对应在这里下载包。
这时坑出现了,镜像站只提供最新版5.11对应的rpm包,而我此处的系统版本为5.4如果下载下来的包安装需要把所有的依赖关系的包全部更新(我个人认为这样相当于把系统更新)
还是直接在安装包IOS文件中找对应的RPM包比较实际
我这里采用的是直接在安装盘找到对应rpm包安装。(如果服务器存储空间足够每次在新装机之后将安装盘所有的rpm包都直接存储到服务器硬盘上这样就可以有备无患,在需要时可以直接使用)
**解决办法**采用安装光盘安装RPM包的方式解决
- 挂载安装光盘
- 切换到软件包所在目录
cd /media/RHEL_5.4\ i386\ DVD/Server/
- 安装对应的软件包
rpm -Uvh kernel-headers-2.6.18-164.el5.i386.rpm
rpm -Uvh glibc-headers-2.5-42.i386.rpm
rpm -Uvh glibc-devel-2.5-42.i386.rpm
rpm -Uvh libgomp-4.4.0-6.el5.i386.rpm
rpm -Uvh gcc-4.1.2-46.el5.i386.rpm
- 不报错就安装成功
gcc -v
gcc已经安装成功,版本为:4.1.2
再次编译1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords
**报错**日志如下(如果你直接成功了,那么恭喜你可以直接跳到安装步骤)
......(省略)
checking for zlib.h... no
configure: error: *** zlib.h missing - please install first or check config.log ***
问题很明显,没有zlib,如果网络正常肯定立马yum install zlib修复此问题。
(这里可以尝试将编译参数--with-zlib去掉,此方式未验证)
可惜服务器无法使用公网,最直接的解决办法是找到安装盘找到对应的RPM安装包和依赖包(我本机是使用如下脚本安装,注意安装顺序)
rpm -Uvh zlib-1.2.3-3.i386.rpm
rpm -Uvh zlib-devel-1.2.3-3.i386.rpm
**解决办法**采用安装光盘安装RPM包的方式如上与安装gcc的方式一致,这里不使用这种方式,采用源码编译安装(由于已经有了gcc编译环境,所以可以编译安装了)
在zlib网站找到最新源码安装包zlib-1.2.8.tar.gz下载
- 解压
tar -zxvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
- 编译
./configure
- 安装
make && make install
再次编译2
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords
**报错**日志如下(如果你直接成功了,那么恭喜你可以直接跳到安装步骤)
......(省略)
checking for openssl/opensslv.h... no
configure: error: *** OpenSSL headers missing - please install first or check config.log ***
问题很明显,没有openssl-devel,如果网络正常肯定立马yum install openssl-devel修复此问题。
**解决办法**可惜服务器无法使用公网,最直接的解决办法是找到安装盘找到对应的RPM安装包和依赖包(我本机是使用如下脚本安装,注意安装顺序)
这里如果系统和我的版本一致或者更低版本,请不要使用此方式,因为你最终会发现OpenSSH 7.3p1需求的openssl最低需要0.9.8f版本,当然如果版本比0.9.8f更高就可以直接安装了
此处可以不解决直接跳到下一步编译安装升级openssl的解决办法
openssl version -a
rpm -Uvh e2fsprogs-devel-1.39-23.el5.i386.rpm
rpm -Uvh keyutils-libs-devel-1.2-1.el5.i386.rpm
rpm -Uvh libsepol-devel-1.15.2-2.el5.i386.rpm
rpm -Uvh libselinux-devel-1.33.4-5.5.el5.i386.rpm
rpm -Uvh krb5-devel-1.6.1-36.el5.i386.rpm
rpm -Uvh openssl-devel-0.9.8e-12.el5.i386.rpm
再次编译3
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords
**报错**日志如下(如果你直接成功了,那么恭喜你可以直接跳到安装步骤)
......(省略)
checking OpenSSL header version... 0090802f (OpenSSL 0.9.8e-rhel5 01 Jul 2008)
checking OpenSSL library version... configure: error: OpenSSL >= 0.9.8f required (have "0090802f (OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008)")
问题很明显,没有openssl版本过低,本机是0.9.8e,而最低配置需要0.9.8f。(用以下方式直接安装0.9.8f也可以修复此问题,已验证)
**解决办法**去openssl官网下载最新稳定版本的openssl-1.0.2h.tar.gz
- 解压
tar -zxvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
- 编译(会加一点点自定义配置)
./config --prefix=/usr/local/ssl shared zlib-dynamic enable-camellia
- 安装
make depend
make && make install
- 额外配置必须(为
OpenSSH升级做准备)
mv /usr/bin/openssl /usr/bin/openssl.bak
#mv /usr/include/openssl /usr/include/openssl.bak
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig -v
- 升级成功
openssl version -a
再次编译4
需要加一点点配置参数--with-ssl-dir=/usr/local/ssl这点配置与升级openssl过程中自定义的配置有关
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-md5-passwords --with-ssl-dir=/usr/local/ssl
终于成功了
安装
安装之前将现有的ssh配置文件备份
mv /etc/ssh/ssh_config /etc/ssh/ssh_config.bak
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
make && make install
如果不备份日志文件会导致新版本的ssh的配置文件无法覆盖旧版文件。 搞定收工
收尾工作
- 重启sshd服务
service sshd restart
- sshd服务开机自启动(以前配置过此处可以不执行,但是执行也不会有问题,万无一失)
chkconfig sshd on
参考的‘巨人’
- tuicool 此篇文章参考了大致思想,并未实际引用其中的方法。
- iteye 此篇文章参考了如何去配置gcc编译安装环境以及查看操作系统版本。
- baidu 此篇了解了
OpenSSL headers是缺少什么包。 - 51cto 此篇了解了编译安装
openssl后还需要配置的额外步骤,但是其中有个巨坑echo “/usr/local/ssl/lib” >> /etc/ld.so.conf其中的双引号需要时半角英文的,但是其中是中文的,这也让自己吃一堑长一智吧,不能完全Copy。 - 163 此篇了解了编译安装
openssl时需要自定义的参数。 - csdn 此篇知道了编译安装
openssl后在编译openssh时需要带参数--with-ssl-dir=/usr/local/openssl目录依据自定义的配置修改。 - 2cto 这篇是根据安装盘安装
RPM包,写此篇日志时才看到的
最后吐槽一下BD搜索确实不行,国内论坛环境也确实不好,很多问题解决了帖子也就不了了之了,奈何公司内部网,只能用BD,只能用访问部分国内论坛。