一、環境描述
1)操作系統:CentOS 5.5 64位
2)Openssl升級前版本:openssl 0.9.8e
3)Openssl升級後版本:openssl 1.0.1j(源碼安裝)
4)Openssh升級前版本:openssh-4.3p2-41.el5
5)Openssh升級後版本:openssh_6.7p1(源碼安裝)
6)連接工具xshell 4
二、安裝Dropbear代替OpenSSH
安裝dropbear只是為了在升級失敗sshd啟動不起來時,依然可以登錄系統。也可以用其他工具代替,比如telnet
1)下載dropbear安裝包
https://matt.ucc.asn.au/dropbear/releases/dropbear-2014.66.tar.bz2
2)檢查安裝依賴包
yum install zlib* gcc make
3)編譯安裝dropbear
# tar jxf dropbear-2014.66.tar.bz2
# cd dropbear-2014.66
# ./configure
# make && make install
檢查生成的文件是否正確:
4)生成證書
# /usr/local/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key
# /usr/local/bin/dropbearkey -t rsa -s 4096 -f /etc/dropbear/dropbear_rsa_host_key
5)啟動dropbear
# /usr/local/sbin/dropbear -p 2222 //監聽2222端口
查看是否啟動成功:
三、升級OpenSSL到openssl-1.0.1j,並刪除老版本
1)升級前准備
下載openssl-1.0.1j
http://www.openssl.org/source/openssl-1.0.1j.tar.gz
2)刪除舊版本
#rpm -e `rpm -qa | grep openssl` --allmatches --nodeps
3)安裝openssl, 一定記得加上--shared選項, 否則openssh編譯的時候會找不到新安裝的openssl的library, 會報錯: openssl的 header和library版本不匹配
# ./config --prefix=/usr --shared
# make
# make test
# make install
完畢後查看openssl版本安裝是否正確
四、升級sshd到OpenSSH-6.7並刪除老版本ssh
1)升級前准備
查看是否缺包
# rpm -qa | egrep "gcc|make|perl|pam|pam-devel"
如果有配置yum了的話可以直接yum安裝這些包,這樣既可以檢驗是否裝了,沒裝的直接裝上。
yum -y install gcc* make perl pam pam-devel
2)下載openssh-6.7p1.tar.gz
http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.7p1.tar.gz
備份ssh :
# mv /etc/ssh /etc/ssh.bak
# openssl version -a
3)編譯安裝新版本openssh
# tar zxf openssh-6.7p1.tar.gz && cd openssh-6.7p1
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
# make
先卸載完舊版本的openssh,再make install
# rpm -qa | grep openssh
# rpm -e `rpm -qa | grep openssh`
Openssh-askpass是用於圖形界面下輸入口令的,用不著可以不裝
# make install
4)查看是否升級到新版本
5)復制啟動腳本到/etc/init.d
# cp /root/openssh-6.7p1/contrib/RedHat/sshd.init /etc/init.d/sshd
加入開機自啟
# chkconfig --add sshd
6)啟動sshd,用start或reload。不要restart,restart 會直接斷開連接,而並不會接著啟動sshd服務,這時候要通過其他途徑進入機器,然後啟動sshd服務才行。
四、刪除dropbear。
在xshell裡再重新打開一個標簽,
在這裡Dropbear用來防止升級不成功,用來替代openssh連接服務器。
在開啟2222端口(dropbear啟動時的端口,可以設置別的 )的情況下,通過xshell連接的方法是:
Xshell:\> ssh 192.168.4.1 2222 (192.168.4.1為需要連接的服務器ip)
刪除dropbear安裝的文件,並殺掉進程
# rm -rf /etc/dropbear/ /usr/local/sbin/dropbear /usr/local/bin/dropbear*
通過OpenSSL提供FTP+SSL/TLS認證功能,並實現安全數據傳輸 http://www.linuxidc.com/Linux/2013-05/84986.htm
加密算法淺析及OpenSSL,OpenSSH使用 http://www.linuxidc.com/Linux/2014-08/105386.htm
在Ubuntu Server 13.10系統中安裝配置OpenSSH http://www.linuxidc.com/Linux/2014-02/96953.htm
Ubuntu安裝遠程登錄OpenSSH服務 http://www.linuxidc.com/Linux/2014-02/97218.htm
通過OpenSSH遠程登錄時的延遲問題解決 http://www.linuxidc.com/Linux/2013-07/86879.htm
Ubuntu 12.10下OpenSSH的離線安裝方法 http://www.linuxidc.com/Linux/2013-04/82814.htm
OpenSSH升級步驟及注意事項詳解 http://www.linuxidc.com/Linux/2013-04/82123.htm
OpenSSH普通用戶無法登錄的幾種情況的解決方法 http://www.linuxidc.com/Linux/2012-05/59457.htm
通用線程: OpenSSH 密鑰管理,第 1 部分理解 RSA/DSA 認證 http://www.linuxidc.com/Linux/2011-08/39871.htm
RedHat安裝OpenSSH和配置sftp鎖定目錄 http://www.linuxidc.com/Linux/2012-12/75398.htm
OpenSSL 的詳細介紹:請點這裡
OpenSSL 的下載地址:請點這裡
