实战redhat6.5离线升级openssl&openssh

记录一次RedHat6.5升级openssl&openssh踩坑填坑。由于机房信息安全员用绿盟扫描出服务器openssh有8个重要的安全漏洞，最好的解决方式就是升级版本。

注意事项：

1. 先升级openssl,后升级openssh
2. 升级期间注意打开多个ssh窗口，以防断开后不能连接。最好先安装好telnet-server、xinetd、vsftpd 确保升级过程中ssh及ftp能正常连接及上传文件
3. 确保gcc命令，zlib库等都已经安装。

踩坑填坑：

1. 由于这次是第一次向机房那边申请的服务器，没曾想gcc命令、zlib库都是没有的，需要我们自己在网上找合适版本的rpm包上传安装。
   1. 升级openssl第3步由于没装gcc命令导致执行报错，后面收集到一份完整的gcc需要rpm包安装后一路 “绿灯” openssl完美升级。
   2. 升级openssh第6步发现没安装zlib库导致执行报错，由于第2步、第3步由于吧ssh相关文件移动备份到新的文件夹，发现sftp连接不上了，不能上传zlib库的包...这里我利用了同一网段我的其他web应用服务器吧zlib升级需要的安装包上传上去了，在RedHat6.5用wget命令下载了web服务器上的更新包，安装升级后也是一路 “绿灯” openssh完美升级。

升级包及rpm包下载地址：

• gcc：https://www.lanzous.com/i5uy81i
• zlib-1.2.11：https://files.cnblogs.com/files/fxcoding/zlib-1.2.11.tar.gz
• openssh-7.9p1：https://files.cnblogs.com/files/fxcoding/openssh-7.9p1.tar.gz
• openssl-1.0.2q：https://files.cnblogs.com/files/fxcoding/openssl-1.0.2q.tar.gz

　　

• Openssl升级

1. 解压openssl-1.0.2q.tar.gz

   tar zxvf openssl-1.0.2q.tar.gz

2. 进入解压的目录

   cd openssl-1.0.2q

3. 配置Openssl（一定要确保已经安装了gcc命令）

   ./config --prefix=/usr/local/openssl --shared

4. 编译安装

   make && make install

5. 查看/usr/local/openssl目录是否生成文件

   # ls /usr/local/openssl
   
   bin  include  lib  ssl

6. 在/etc/ld.so.conf文件的最后面，添加如下内容

   vi /etc/ld.so.conf
   /usr/local/openssl/lib

7. 使ld.so.conf配置文件生效

   ldconfig

8. 添加OPESSL的环境变量

   在/etc目录下的profile文件的最后一行，添加:

   vi /etc/profile
   
   export OPENSSL=/usr/local/openssl/bin
   
   export PATH=$OPENSSL:$PATH:$HOME/bin

9. 使环境生效

   source /etc/profile

10. 查看openssl版本号（确保版本号为刚刚升级的版本）

    # openssl version
    
    OpenSSL 1.0.2q  20 Nov 2018

    到此openssl已经完成升级。博主在升级openssl时由于机房给的纯净的RedHat系统gcc环境没有，所以第三步报错了，博主整理好了gcc环境需要的rpm包，进入gcc目录执行./install-gcc.sh命令，安装完成后查看gcc版本命令：gcc -v

---

• OpenSSH升级

1. 创建配置文件备份目录

   mkdir /etc/sshbak

2. 备份原来的ssh配置文件

   mv /etc/ssh/* /etc/sshbak

3. 备份原来的ssh启用脚本

   mv /etc/init.d/sshd /etc/init.d/sshdbak

4. 解压openssh-7.9p1.tar.gz

   # tar -zxvf openssh-7.9p1.tar.gz

5. 进入解压目录

   cd openssh-7.9p1

6. 配置openssh

   ./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl

7. 编译安装

   make && make install

8. 复制启动脚本到/etc/init.d

   cp -a contrib/redhat/sshd.init /etc/init.d/sshd

9. 查看/etc/ssh目录下是否存在配置文件

   # ls /etc/ssh
   
   moduli      sshd_config       ssh_host_dsa_key.pub  ssh_host_ecdsa_key.pub  ssh_host_ed25519_key.pub  ssh_host_rsa_key.pub
   
   ssh_config  ssh_host_dsa_key  ssh_host_ecdsa_key    ssh_host_ed25519_key    ssh_host_rsa_key

10. 开启允许root管理员登录

    修改配置文件:

    vi /etc/ssh/sshd_config
    
    找到#PermitRootLogin prohibit-password
    
    在下面一行添加PermitRootLogin yes
    
    PermitRootLogin yes

11. 重启sshd服务

    service sshd restart

12. 查看ssh版本（确保版本为升级的版本）

    # ssh -V
    
    OpenSSH_7.9p1, OpenSSL 1.0.2q  20 Nov 2018

    博主第6步执行报错，由于没有zlib库，需要先安装。安装后续操作也是一路顺畅、到此openssh也完美离线升级，记录一下希望可以帮到有需要的人（由于我这边网络安全限制机房不能连接外网，离线环境安装是真的麻烦）升级需要的rpm包我都已上传到博客。