查看现在的版本SSH -V

一、准备

备份ssh目录(重要)

cp -rf /etc/ssh /etc/ssh.bak

【 可以现场处理的,不用设置

安装telnet,避免ssh升级出现问题,导致无法远程管理

yum install telnet-server

vi /etc/xinetd.d/telnet

service telnet

{

        flags           = REUSE

        socket_type     = stream

        wait            = no

        user            = root

        server          = /usr/sbin/in.telnetd

        log_on_failure  += USERID

        disable         = no

}

默认不允许root登录

vi /etc/securetty

增加

pts/0

pts/1

pts/2

如果登录用户较多,需要更多的pts/*
service xinetd restart

这样root可以telnet登录了

二、安装

升级需要几个组件

yum install -y gcc openssl-devel pam-devel rpm-build

现在新版本,目前是openssh-7.3最新,但刚刚出来,为保险,我选用7.2版本

wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.3p1.tar.gz

wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.2p1.tar.gz

wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.1p1.tar.gz

解压升级包,并安装

tar -zxvf openssh-7.2p1.tar.gz

cd openssh-7.2p1

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-tcp-wrappers

make && make install

安装后提示:

/etc/ssh/ssh_config already exists, install will not overwrite

/etc/ssh/sshd_config already exists, install will not overwrite

/etc/ssh/moduli already exists, install will not overwrite

ssh-keygen: generating new host keys: ECDSA ED25519

/usr/sbin/sshd -t -f /etc/ssh/sshd_config

/etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication

/etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials

修改配置文件,允许root登录

vi /etc/ssh/sshd_config

#PermitRootLogin yes

修改为

PermitRootLogin yes

命令:

sed -i '/^#PermitRootLogin/s/#PermitRootLogin yes/PermitRootLogin yes/' /etc/ssh/sshd_config

重启openSSH

service sshd restart

升级后版本

ssh -V

OpenSSH_7.2p1, OpenSSL 1.0.1e-fips 11 Feb 2013



如果之前你将原ssh目录修改名字

mv /etc/ssh /etc/ssh_bak

需要修改下配置:

修改配置文件,禁止root登录

sed -i '/^#PermitRootLogin/s/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

可以不操作,禁止dns解析

sed -i '/^#UseDNS yes/s/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config

可以不操作默认是22,修改ssh端口至6022

echo "Port 6022" >> /etc/ssh/sshd_config



注:在升级SSH时你的SSH是不会因为升级或重启服务而断掉的.

问题1:

[root@testserver2 tmp]# service sshd restart

Stopping sshd:                                             [  OK  ]

Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication

/etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials [  OK  ]

解决:

将/etc/ssh/sshd_config文件中以上行数内容注释下即可

sed -i '/^GSSAPICleanupCredentials/s/GSSAPICleanupCredentials yes/#GSSAPICleanupCredentials yes/' /etc/ssh/sshd_config

sed -i '/^GSSAPIAuthentication/s/GSSAPIAuthentication yes/#GSSAPIAuthentication yes/' /etc/ssh/sshd_config

sed -i '/^GSSAPIAuthentication/s/GSSAPIAuthentication no/#GSSAPIAuthentication no/' /etc/ssh/sshd_config

问题2:

更新后ssh有如下提示,但不影响使用:

[root@testserver2 tmp]# ssh 10.111.32.51

/etc/ssh/ssh_config line 50: Unsupported option "gssapiauthentication"                                           

解决:

可以注释/etc/ssh/ssh_config的gssapiauthentication内容

------------------------------------------------------------------------------------------

CentOS7升级openssh参考这里的内容

本次使用源码安装(系统需要gcc),各软件版本如下:

zlib-1.2.8

openssl-1.0.2h

openssh-7.3p1

安装步骤如下:

1、安装zlib

[root@CentOS7test ~]# cd zlib-1.2.8/

[root@CentOS7test zlib-1.2.8]# ./configure

[root@CentOS7test zlib-1.2.8]# make

[root@CentOS7test zlib-1.2.8]# make install

2、安装openssl

[root@CentOS7test ~]# cd openssl-1.0.2h/

[root@CentOS7test openssl-1.0.2h]# ./config --prefix=/usr/ --shared

[root@CentOS7test openssl-1.0.2h]# make

[root@CentOS7test openssl-1.0.2h]# make install

3、安装openssh

[root@CentOS7test ~]# cd openssh-7.3p1/

[root@CentOS7test openssh-7.3p1]# ./configure --prefix=/usr/local
--sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
--with-tcp-wrappers

[root@CentOS7test openssh-7.3p1]# make

[root@CentOS7test openssh-7.3p1]# make install

4、查看版本是否已更新

[root@CentOS7test openssh-7.3p1]# ssh -V

OpenSSH_7.3p1, OpenSSL 1.0.2h 3 May 2016

5、新介质替换原有内容

[root@CentOS7test openssh-7.3p1]# mv /usr/bin/ssh /usr/bin/ssh_bak

[root@CentOS7test openssh-7.3p1]# cp /usr/local/bin/ssh /usr/bin/ssh

[root@CentOS7test openssh-7.3p1]# mv /usr/sbin/sshd /usr/sbin/sshd_bak

[root@CentOS7test openssh-7.3p1]# cp /usr/local/sbin/sshd /usr/sbin/sshd

6-加载ssh配置重启ssh服务

[root@CentOS7test ~]# systemctl daemon-reload

[root@CentOS7test ~]# systemctl restart sshd.service

7、遇到的问题解决

问题1:

安装完成后,telnet 22端口不通,通过systemctl status sshd.service查看发现有警告信息

部分信息如Permissions 0640 for '/etc/ssh/ssh_host_ecdsa_key' are too open

修正:

修改相关提示文件的权限为600,并重启sshd服务(systemctl restart sshd.service)

查看服务状态(systemctl status sshd.service)

例:chmod 600 /etc/ssh/ssh_host_ecdsa_key

问题2:

安装完成后,如需root直接登录

修正:

修改/etc/ssh/sshd_config文件,将文件中#PermitRootLogin yes改为PermitRootLogin yes

并重启sshd服务

升级后验证

问题3:

如果你使用了jenkins进行部署,升级后会影响jenkins部署,测试连接web端会报错 Algorithm negotiation fail

修正:

在web端修改sshd_config文件最后一行增加以下内容

KexAlgorithms
diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1

参考:http://stackoverflow.com/questions/32627998/algorithm-negotiation-fail-in-jenkins

--------------------------------------------------------------

【临时修改版本号,运行很久的线上环境升级存在风险,如果可以的话只修改版本号吧(后期经过验证,这种修改版本号的方法无效,ssh -v IP可以查看版本)

查询

ssh -V

sshd -V

备份

cp /usr/bin/ssh /usr/bin/ssh.bak.version_edit

cp /usr/sbin/sshd /usr/sbin/sshd.bak.version_edit

修改

sed -i 's#OpenSSH_5.3p1#OpenSSH_7.2p1#g' /usr/bin/ssh

sed -i 's#OpenSSH_5.3p1#OpenSSH_7.2p1#g' /usr/sbin/sshd

补充汇总下:

centos7.X主机升级ssh

cp /usr/bin/ssh /usr/bin/ssh.bak.20161124

cp /usr/sbin/sshd /usr/bin/sshd.bak.20161124

mv /etc/ssh /etc/ssh.bak

---下载包、安装gcc 、编译等中间步骤参上边内容---

make && make install

/usr/sbin/sshd -t -f /etc/ssh/sshd_config

echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config

cp /etc/ssh.bak/sshd_config /etc/ssh/sshd_config 将原来的文件覆盖下这个新生成的内容

/bin/systemctl restart  sshd.service

centos6.X升级ssh

cp /usr/bin/ssh /usr/bin/ssh.bak.20161124

cp /usr/sbin/sshd /usr/bin/sshd.bak.20161124

cp -rf /etc/ssh /etc/ssh.bak

---下载包、安装gcc 、编译等中间步骤参上边内容---

make && make install

sed -i '/^#PermitRootLogin/s/#PermitRootLogin yes/PermitRootLogin yes/' /etc/ssh/sshd_config

sed -i '/^GSSAPICleanupCredentials/s/GSSAPICleanupCredentials yes/#GSSAPICleanupCredentials yes/' /etc/ssh/sshd_config

sed -i '/^UsePAM/s/UsePAM yes/#UsePAM yes/' /etc/ssh/sshd_config

sed -i '/^GSSAPIAuthentication/s/GSSAPIAuthentication yes/#GSSAPIAuthentication yes/' /etc/ssh/sshd_config

sed -i '/^GSSAPIAuthentication/s/GSSAPIAuthentication no/#GSSAPIAuthentication no/' /etc/ssh/sshd_config

service sshd restart

附录:

CentOS7 sshd_config配置内容

  1. #       $OpenBSD: sshd_config,v 1.93 2014/01/10 05:59:19 djm Exp $
  2. # This is the sshd server system-wide configuration file.  See
  3. # sshd_config(5) for more information.
  4. # This sshd was compiled with PATH=/usr/local/bin:/usr/bin
  5. # The strategy used for options in the default sshd_config shipped with
  6. # OpenSSH is to specify options with their default value where
  7. # possible, but leave them commented.  Uncommented options override the
  8. # default value.
  9. # If you want to change the port on a SELinux system, you have to tell
  10. # SELinux about this change.
  11. # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
  12. #
  13. #Port 22
  14. #AddressFamily any
  15. #ListenAddress 0.0.0.0
  16. #ListenAddress ::
  17. # The default requires explicit activation of protocol 1
  18. #Protocol 2
  19. # HostKey for protocol version 1
  20. #HostKey /etc/ssh/ssh_host_key
  21. # HostKeys for protocol version 2
  22. HostKey /etc/ssh/ssh_host_rsa_key
  23. #HostKey /etc/ssh/ssh_host_dsa_key
  24. HostKey /etc/ssh/ssh_host_ecdsa_key
  25. HostKey /etc/ssh/ssh_host_ed25519_key
  26. # Lifetime and size of ephemeral version 1 server key
  27. #KeyRegenerationInterval 1h
  28. #ServerKeyBits 1024
  29. # Ciphers and keying
  30. #RekeyLimit default none
  31. # Logging
  32. # obsoletes QuietMode and FascistLogging
  33. #SyslogFacility AUTH
  34. SyslogFacility AUTHPRIV
  35. #LogLevel INFO
  36. # Authentication:
  37. #LoginGraceTime 2m
  38. PermitRootLogin yes
  39. #StrictModes yes
  40. #MaxAuthTries 6
  41. #MaxSessions 10
  42. #RSAAuthentication yes
  43. #PubkeyAuthentication yes
  44. # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
  45. # but this is overridden so installations will only check .ssh/authorized_keys
  46. AuthorizedKeysFile      .ssh/authorized_keys
  47. #AuthorizedPrincipalsFile none
  48. #AuthorizedKeysCommand none
  49. #AuthorizedKeysCommandUser nobody
  50. # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
  51. #RhostsRSAAuthentication no
  52. # similar for protocol version 2
  53. #HostbasedAuthentication no
  54. # Change to yes if you don't trust ~/.ssh/known_hosts for
  55. # RhostsRSAAuthentication and HostbasedAuthentication
  56. #IgnoreUserKnownHosts no
  57. # Don't read the user's ~/.rhosts and ~/.shosts files
  58. #IgnoreRhosts yes
  59. # To disable tunneled clear text passwords, change to no here!
  60. #PasswordAuthentication yes
  61. #PermitEmptyPasswords no
  62. PasswordAuthentication yes
  63. # Change to no to disable s/key passwords
  64. #ChallengeResponseAuthentication yes
  65. ChallengeResponseAuthentication no
  66. # Kerberos options
  67. #KerberosAuthentication no
  68. #KerberosOrLocalPasswd yes
  69. #KerberosTicketCleanup yes
  70. #KerberosGetAFSToken no
  71. #KerberosUseKuserok yes
  72. # GSSAPI options
  73. GSSAPIAuthentication yes
  74. GSSAPICleanupCredentials no
  75. #GSSAPIStrictAcceptorCheck yes
  76. #GSSAPIKeyExchange no
  77. #GSSAPIEnablek5users no
  78. # Set this to 'yes' to enable PAM authentication, account processing,
  79. # and session processing. If this is enabled, PAM authentication will
  80. # be allowed through the ChallengeResponseAuthentication and
  81. # PasswordAuthentication.  Depending on your PAM configuration,
  82. # PAM authentication via ChallengeResponseAuthentication may bypass
  83. # the setting of "PermitRootLogin without-password".
  84. # If you just want the PAM account and session checks to run without
  85. # PAM authentication, then enable this but set PasswordAuthentication
  86. # and ChallengeResponseAuthentication to 'no'.
  87. # WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
  88. # problems.
  89. UsePAM yes
  90. #AllowAgentForwarding yes
  91. #AllowTcpForwarding yes
  92. #GatewayPorts no
  93. X11Forwarding yes
  94. #X11DisplayOffset 10
  95. #X11UseLocalhost yes
  96. #PermitTTY yes
  97. #PrintMotd yes
  98. #PrintLastLog yes
  99. #TCPKeepAlive yes
  100. #UseLogin no
  101. UsePrivilegeSeparation sandbox          # Default for new installations.
  102. #PermitUserEnvironment no
  103. #Compression delayed
  104. #ClientAliveInterval 0
  105. #ClientAliveCountMax 3
  106. #ShowPatchLevel no
  107. #UseDNS yes
  108. UseDNS no
  109. #PidFile /var/run/sshd.pid
  110. #MaxStartups 10:30:100
  111. #PermitTunnel no
  112. #ChrootDirectory none
  113. #VersionAddendum none
  114. # no default banner path
  115. #Banner none
  116. # Accept locale-related environment variables
  117. AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
  118. AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
  119. AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
  120. AcceptEnv XMODIFIERS
  121. # override default of no subsystems
  122. Subsystem       sftp    /usr/libexec/openssh/sftp-server
  123. # Example of overriding settings on a per-user basis
  124. #Match User anoncvs
  125. #       X11Forwarding no
  126. #       AllowTcpForwarding no
  127. #       PermitTTY no
  128. #       ForceCommand cvs server

CentOS6 sshd_config配置内容

  1. #       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
  2. # This is the sshd server system-wide configuration file.  See
  3. # sshd_config(5) for more information.
  4. # This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
  5. # The strategy used for options in the default sshd_config shipped with
  6. # OpenSSH is to specify options with their default value where
  7. # possible, but leave them commented.  Uncommented options change a
  8. # default value.
  9. #Port 22
  10. #AddressFamily any
  11. #ListenAddress 0.0.0.0
  12. #ListenAddress ::
  13. # Disable legacy (protocol version 1) support in the server for new
  14. # installations. In future the default will change to require explicit
  15. # activation of protocol 1
  16. Protocol 2
  17. # HostKey for protocol version 1
  18. #HostKey /etc/ssh/ssh_host_key
  19. # HostKeys for protocol version 2
  20. #HostKey /etc/ssh/ssh_host_rsa_key
  21. #HostKey /etc/ssh/ssh_host_dsa_key
  22. # Lifetime and size of ephemeral version 1 server key
  23. #KeyRegenerationInterval 1h
  24. #ServerKeyBits 1024
  25. # Logging
  26. # obsoletes QuietMode and FascistLogging
  27. #SyslogFacility AUTH
  28. SyslogFacility AUTHPRIV
  29. #LogLevel INFO
  30. # Authentication:
  31. #LoginGraceTime 2m
  32. PermitRootLogin yes
  33. #StrictModes yes
  34. #MaxAuthTries 6
  35. #MaxSessions 10
  36. #RSAAuthentication yes
  37. #PubkeyAuthentication yes
  38. #AuthorizedKeysFile     .ssh/authorized_keys
  39. #AuthorizedKeysCommand none
  40. #AuthorizedKeysCommandRunAs nobody
  41. # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
  42. #RhostsRSAAuthentication no
  43. # similar for protocol version 2
  44. #HostbasedAuthentication no
  45. # Change to yes if you don't trust ~/.ssh/known_hosts for
  46. # RhostsRSAAuthentication and HostbasedAuthentication
  47. #IgnoreUserKnownHosts no
  48. # Don't read the user's ~/.rhosts and ~/.shosts files
  49. #IgnoreRhosts yes
  50. # To disable tunneled clear text passwords, change to no here!
  51. #PasswordAuthentication yes
  52. #PermitEmptyPasswords no
  53. PasswordAuthentication yes
  54. # Change to no to disable s/key passwords
  55. #ChallengeResponseAuthentication yes
  56. ChallengeResponseAuthentication no
  57. # Kerberos options
  58. #KerberosAuthentication no
  59. #KerberosOrLocalPasswd yes
  60. #KerberosTicketCleanup yes
  61. #KerberosGetAFSToken no
  62. #KerberosUseKuserok yes
  63. # GSSAPI options
  64. #GSSAPICleanupCredentials yes
  65. #GSSAPICleanupCredentials yes
  66. #GSSAPIStrictAcceptorCheck yes
  67. #GSSAPIKeyExchange no
  68. # Set this to 'yes' to enable PAM authentication, account processing,
  69. # and session processing. If this is enabled, PAM authentication will
  70. # be allowed through the ChallengeResponseAuthentication and
  71. # PasswordAuthentication.  Depending on your PAM configuration,
  72. # PAM authentication via ChallengeResponseAuthentication may bypass
  73. # the setting of "PermitRootLogin without-password".
  74. # If you just want the PAM account and session checks to run without
  75. # PAM authentication, then enable this but set PasswordAuthentication
  76. # and ChallengeResponseAuthentication to 'no'.
  77. #UsePAM no
  78. UsePAM yes
  79. # Accept locale-related environment variables
  80. AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
  81. AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
  82. AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
  83. AcceptEnv XMODIFIERS
  84. #AllowAgentForwarding yes
  85. #AllowTcpForwarding yes
  86. #GatewayPorts no
  87. #X11Forwarding no
  88. X11Forwarding yes
  89. #X11DisplayOffset 10
  90. #X11UseLocalhost yes
  91. #PrintMotd yes
  92. #PrintLastLog yes
  93. #TCPKeepAlive yes
  94. #UseLogin no
  95. UseLogin no
  96. #UsePrivilegeSeparation yes
  97. #PermitUserEnvironment no
  98. #Compression delayed
  99. #ClientAliveInterval 0
  100. #ClientAliveCountMax 3
  101. #ShowPatchLevel no
  102. #PidFile /var/run/sshd.pid
  103. #MaxStartups 10
  104. #PermitTunnel no
  105. #ChrootDirectory none
  106. # no default banner path
  107. #Banner none
  108. # override default of no subsystems
  109. Subsystem       sftp    /usr/libexec/openssh/sftp-server
  110. # Example of overriding settings on a per-user basis
  111. #Match User anoncvs
  112. #       X11Forwarding no
  113. #       AllowTcpForwarding no
  114. #       ForceCommand cvs server
  115. UseDNS no
  116. #GSSAPIAuthentication no
  117. #GSSAPIAuthentication yes

20161205补充:

实际使用中发现ansible和jenkins使用时有些问题,网上查询了下,需要在/etc/ssh/sshd_config文件中最后增加两行:

  1. Ciphers aes128-cbc,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr,3des-cbc,arcfour128,arcfour256,arcfour,blowfish-cbc,cast128-cbc
  2. KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1

因为升级了openssh太新导致通信时加密算法出现问题,加上后重启就可以了。

20170428补充:

升级openssh版本脚本

  1. cp /usr/bin/ssh /usr/bin/ssh.bak.20161124
  2. cp /usr/sbin/sshd /usr/bin/sshd.bak.20161124
  3. cp -rf /etc/ssh /etc/ssh.bak
  4. yum install -y gcc openssl-devel pam-devel rpm-build
  5. wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.2p1.tar.gz
  6. tar -zxvf openssh-7.2p1.tar.gz && cd openssh-7.2p1 && ./configure --prefix=/usr --sysconfdir=/etc/ssh  --with-pam --with-zlib --with-md5-passwords --with-tcp-wrappers && make && make install
  7. sed -i '/^#PermitRootLogin/s/#PermitRootLogin yes/PermitRootLogin yes/' /etc/ssh/sshd_config
  8. sed -i 's/GSSAPIAuthentication yes/#GSSAPIAuthentication yes/' /etc/ssh/ssh_config
  9. sed -i '/^GSSAPICleanupCredentials/s/GSSAPICleanupCredentials yes/#GSSAPICleanupCredentials yes/' /etc/ssh/sshd_config
  10. sed -i '/^GSSAPIAuthentication/s/GSSAPIAuthentication yes/#GSSAPIAuthentication yes/' /etc/ssh/sshd_config
  11. sed -i '/^GSSAPIAuthentication/s/GSSAPIAuthentication no/#GSSAPIAuthentication no/' /etc/ssh/sshd_config
  12. #sed -i '/^#UsePAM/s/#UsePAM yes/UsePAM yes/' /etc/ssh/sshd_config 如果内网使用ldap需要设置这项
  13. echo "
  14. #ansible support" >>/etc/ssh/sshd_config
  15. echo "Ciphers aes128-cbc,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr,3des-cbc,arcfour128,arcfour256,arcfour,blowfish-cbc,cast128-cbc" >>/etc/ssh/sshd_config
  16. echo "
  17. service sshd restart

重要提示:最近发现,在升级完ssh版本后,如果你进行了系统update或者升级用到ssh包的相关软件包,会导致ssh的版本回退到原来的版本。

20170504补充:

对于linux执行update,会导致升级后的ssh恢复到之前版本问题,处理方式(新版本ssh安装到不用的目录中,系统启动使用新目录的ssh)

一、备份文件

cp /usr/bin/ssh /usr/bin/ssh.bak.20171124

cp /usr/sbin/sshd /usr/bin/sshd.bak.20171124

cp -rf /etc/ssh /etc/ssh.bak.20171124

二、安装(/usr/local/ssh7为新目录,/usr/local/ssh7/ssh放置配置文件)

yum install -y gcc openssl-devel pam-devel rpm-build

wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.2p1.tar.gz

tar -zxvf openssh-7.2p1.tar.gz && cd openssh-7.2p1 &&
./configure --prefix=/usr/local/ssh7 --sysconfdir=/usr/local/ssh7/ssh 
--with-pam --with-zlib --with-md5-passwords


--with-tcp-wrappers && make && make install

三、修改sshd_config内容

vi /usr/local/ssh7/ssh/sshd_config文件内容:

Port 22

Protocol 2

PermitRootLogin yes

AuthorizedKeysFile      .ssh/authorized_keys

ChallengeResponseAuthentication no

UsePAM yes

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE

AcceptEnv XMODIFIERS

X11Forwarding yes

Subsystem       sftp    /usr/local/ssh7/libexec/sftp-server

UseDNS no

#ansible支持加入

Ciphers
aes128-cbc,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr,3des-cbc,arcfour128,arcfour256,arcfour,blowfish-cbc,cast128-cbc

#jenkins支持加入

KexAlgorithms
diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-

sha256,diffie-hellman-group14-sha1

四、修改启动文件

cp /etc/init.d/sshd /etc/init.d/sshd7

mv /etc/init.d/sshd /etc/init.d/sshd.bak.20171124

vi /etc/init.d/sshd7

修改:

#SSHD=/usr/sbin/sshd 为

SSHD=/usr/local/ssh7/sbin/sshd

修改:

#[ -f /etc/ssh/sshd_config ] || exit 6 为

[ -f /usr/local/ssh7/ssh/sshd_config ] || exit 6

五、root下修改环境变量

# vi /etc/profile.d/ssh7.sh

export SSH_7=/usr/local/ssh7

export PATH=${SSH_7}/bin:${SSH_7}/sbin:$PATH

六、重启ssh

service sshd7 restart

以后需要这样重启ssh服务

CentOS openssh升级到openssh-7.2版本的更多相关文章

  1. CentOS openssh升级到openssh可用

    1. https://blog.csdn.net/moonpure/article/details/54575401 2. http://www.it165.net/admin/html/201303 ...

  2. linux升级安装openssh时出现依赖冲突

    通过如下方式下载到openssh安装包 https://www.cnblogs.com/qq931399960/p/11120429.html -rwxrwxrwx. root root Jul : ...

  3. Centos 6.x Openssh 升级 7.7p1 版本

    OpenSSH 升级 目前在一家金融公司上班,正好赶上金融公司各种暴雷,本人心里慌慌的. 然后就是金融公司要进行的最低的三级等保评测,各种修改系统安全,密码强度.WAF.防火墙等各种. 评测公司对我司 ...

  4. CentOS 7升级OpenSSH

    目录 下载openssh安装包 安装telnet 卸载旧的openssh 安装依赖 安装openssh 重启验证 关闭telnet服务 参考 下载openssh安装包 下载地址 wget https: ...

  5. Centos6.5 升级Openssl + Openssh

    xu言: 平时很懒,都不想写blog.今天(2018.05.15)开始尝试每天写一篇吧,看我自己能坚持多久! 准备工作: 为了防止在操作过程中导致ssh远程中断,首先安装一个telnet-server ...

  6. Centos6.5 离线 Openssh 升级

    目录 OpenSSH 升级 一.基于 Dropbear 设置备用 ssh 服务器 二. Openssh 更新 2.1 ssh配置 备份 2.2 openssh 升级 Openssl 升级(由于Open ...

  7. 【原创】大叔问题定位分享(28)openssh升级到7.4之后ssh跳转异常

    服务器集群之间忽然ssh跳转不通 # ssh 192.168.0.1The authenticity of host '192.168.0.1 (192.168.0.1)' can't be esta ...

  8. centos7生产环境下openssh升级

    由于生产环境ssh版本太低,导致使用安全软件扫描时提示系统处于异常不安全的状态,主要原因是ssh漏洞.推荐通过升级ssh版本修复漏洞 因为是生产环境,所以有很多问题需要注意.为了保险起见,在生产环境下 ...

  9. 实战redhat6.5离线升级openssl&openssh

    记录一次RedHat6.5升级openssl&openssh踩坑填坑.由于机房信息安全员用绿盟扫描出服务器openssh有8个重要的安全漏洞,最好的解决方式就是升级版本. 注意事项: 先升级o ...

随机推荐

  1. vue路由守卫+cookie实现页面跳转时验证用户是否登录----(二)设置路由守卫

    上一篇我们已经封装好了cookie方法,登录成功之后也可以吧用户信息存到cookie中,接下来需要在router/index.js中引入一下cookie.js文件 然后继续添加以下代码 /* * be ...

  2. 安装oracleXE快捷版(一)

    yum找不到包,参考了一些文章,用iso上的包安装了.在文章后面贴有我实际的操作(黑体)和日志. 更换yum源https://www.cnblogs.com/zrxuexi/p/11587173.ht ...

  3. python爬取酷我音乐(收费也可)

    第一次创作,请多指教 环境:Python3.8,开发工具:Pycharm 很多人学习python,不知道从何学起.很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手.很多已经做案例的 ...

  4. OC基础--数据类型与表达式

    前言 做iOS开发有3年了,从当初的小白到现在,断断续续看过很多资料,之前也写过一些博文来记录,但是感觉知识点都比较凌乱.所以最近准备抽时间把iOS开发的相关知识进行一个梳理,主要分为OC基础.UI控 ...

  5. 分布式文件存储:FastDFS简单使用与原理分析

    引言 FastDFS 属于分布式存储范畴,分布式文件系统 FastDFS 非常适合中小型项目,在我接手维护公司图片服务的时候开始接触到它,本篇文章目的是总结一下 FastDFS 的知识点. 用了 2 ...

  6. 伪距定位算法(matlab版)

    在各种伪距定位算法中,最小二乘法是一种比较简单而广泛的方法,该算法可以分为以下几步: 1.准备数据与设置初始值 这里准备数据,主要是对于各颗可见卫星,收集到它们在同一时刻的伪距测量值,计算测量值的各项 ...

  7. 支付-微信h5

    背景 h5支付分两种 1.浏览器 2.app 浏览器里的h5,最终也会跳转到app. 而app里的h5,本质是公众号.在微信里叫公众号,支付宝叫服务窗. 这里主要讲微信h5. 核心原理 最终目标是下单 ...

  8. Centos7.6系统下docker的安装

    一.环境说明 系统:CentOS7.6 软件:Docker19.03 二.Docker的安装 2.1.在线安装 (1) 设置仓库,安装所需的软件包. yum-utils 提供了 yum-config- ...

  9. 在GitLab pages上快速搭建Jekyll博客

    前一段时间将我的Jekyll静态博客从github pages镜像部署到了 zeit.co(现vercel)上了一份,最近偶然发现gitlab pages也不错,百度也会正常抓取,于是动手倒腾,将gi ...

  10. webstorm编写vue、react 将大驼峰组件命名转换成短横杠命名

    大家好!我是木瓜太香,精通 webstorm 与常见前端技术的工程师,偶尔也在b站搞一些 webstorm 技巧教学,今天给大家带来的是大驼峰小驼峰快速转换短横杠命名或者下划线命名的方式. 开发中我们 ...