在CentOS系统中,OpenSSH是保障远程管理安全性的核心组件,随着时间的推移,旧版本的OpenSSH可能会暴露出安全漏洞,因此定期升级至最新稳定版本是系统维护中至关重要的一环,本文将详细介绍如何在CentOS系统上通过编译源码的方式,安全、完整地升级安装OpenSSH,确保整个过程平滑且风险可控。
升级前的准备工作
在进行任何核心组件的升级之前,周密的准备工作是避免意外的关键,这不仅能保证升级过程的顺利进行,还能在出现问题时提供回滚的余地。
备份现有配置和数据,这是最重要的一步,必须严格执行,需要备份的目录和文件包括:
- SSH配置目录:
/etc/ssh/ - SSH主程序及相关文件:
/usr/bin/ssh,/usr/sbin/sshd等 - PAM认证模块配置:
/etc/pam.d/sshd - Systemd服务文件:
/usr/lib/systemd/system/sshd.service
建议将这些文件打包备份到一个安全的位置,/root/backup/ssh/。
检查当前OpenSSH版本,通过以下命令可以查看当前系统安装的OpenSSH客户端和服务端版本,这将作为升级前后的对比基准。
ssh -V
安装编译所需的依赖包,从源码编译安装OpenSSH需要一系列开发工具和库文件,可以使用以下命令来安装这些依赖,对于CentOS 7,使用yum;对于CentOS 8/Stream,使用dnf。
| 依赖包名称 | 作用 |
|---|---|
| gcc | C语言编译器 |
| make | 构建工具 |
| openssl-devel | SSL/TLS加密功能开发库 |
| zlib-devel | 数据压缩功能开发库 |
| pam-devel | 可插拔认证模块开发库 |
| wget | 下载工具 |
执行以下命令来安装这些依赖(以CentOS 7为例):
yum groupinstall -y "Development Tools" yum install -y zlib-devel openssl-devel pam-devel wget
编译与安装新版本OpenSSH
准备工作完成后,便可以开始下载、编译和安装新版本的OpenSSH。
第一步:下载OpenSSH源码
建议从OpenSSH的官方网站下载最新稳定版的源码包,访问 https://www.openssh.com/portable.html 或其镜像站点获取下载链接,以 openssh-9.3p1.tar.gz 为例,使用 wget 命令下载:
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz
第二步:解压并进入源码目录
tar -zxvf openssh-9.3p1.tar.gz cd openssh-9.3p1
第三步:配置编译选项
执行 ./configure 脚本是编译前的关键步骤,为了不与系统自带的SSH管理冲突,推荐将新版本的OpenSSH安装到独立的目录,/usr/local/openssh。
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl --with-zlib --with-pam --with-md5-passwords --disable-strip
参数说明:
--prefix=/usr/local/openssh:指定安装目录。--sysconfdir=/etc/ssh:指定配置文件目录,复用系统原有位置,方便管理。--with-ssl-dir:指定OpenSSL的安装路径,如果系统是默认安装,通常可以省略或指向/usr。--with-pam:启用PAM认证支持,这对于CentOS系统至关重要。--with-md5-passwords:支持MD5密码验证。--disable-strip:安装时不进行符号表剥离,便于调试。
第四步:编译与安装
配置成功后,执行 make 和 make install 命令进行编译和安装,为了加快编译速度,可以使用 -j 参数指定并行编译的线程数,make -j4。
make -j4 make install
配置新版本SSH服务
安装完成后,需要配置系统以使用新安装的 sshd 守护进程。
第一步:备份并替换Systemd服务文件
备份系统原有的 sshd.service 文件。
mv /usr/lib/systemd/system/sshd.service /root/
创建一个新的 sshd.service 文件,内容如下,注意 ExecStart 路径要指向新安装的 sshd。
[Unit] Description=OpenSSH server daemon Documentation=man:sshd(8) man:sshd_config(5) After=network.target sshd-keygen.service Wants=sshd-keygen.service [Service] Type=notify EnvironmentFile=-/etc/crypto-policies/back-ends/opensshserver.config EnvironmentFile=-/etc/sysconfig/sshd ExecStart=/usr/local/openssh/sbin/sshd -D $OPTIONS $CRYPTO_POLICY ExecReload=/bin/kill -HUP $MAINPID KillMode=process Restart=on-failure RestartSec=42s [Install] WantedBy=multi-user.target
第二步:重新加载Systemd并启动服务
systemctl daemon-reload systemctl restart sshd systemctl enable sshd
第三步:验证升级结果
检查服务状态是否正常。
systemctl status sshd
再次查看OpenSSH版本,确认已更新到新版本。
ssh -V
重要提示:在关闭当前SSH会话之前,务必开启一个新的终端窗口,尝试登录服务器,确保新版本的SSH服务工作正常,这是防止因配置错误导致被锁在系统之外的最后一道防线。
相关问答FAQs
问题1:升级后无法远程登录怎么办?
解答:遇到此问题切勿慌张,首先应通过服务器的物理控制台或VNC等本地访问方式登录排查,主要原因可能包括:
- 防火墙问题:检查
firewalld或iptables规则是否放行了SSH端口(默认22)。 - SELinux问题:CentOS的SELinux可能会阻止新版本的sshd访问某些文件,可以临时关闭SELinux(
setenforce 0)测试,若问题解决,则需要调整SELinux策略。 - 配置文件错误:检查
/etc/ssh/sshd_config文件,特别是PermitRootLogin,PasswordAuthentication,PubkeyAuthentication等关键配置项是否设置正确。 - PAM模块问题:查看
/var/log/secure或journalctl -u sshd的日志,通常会有详细的错误信息,如PAM认证失败等。 - 服务未启动:使用
systemctl status sshd确认服务是否处于运行状态。
问题2:为什么要指定 --prefix 路径,而不是直接覆盖系统文件?
解答:这是一个推荐的最佳实践,主要基于以下几点考虑:
- 系统隔离:将自编译的软件安装到独立目录(如
/usr/local/openssh),可以与系统包管理器(如yum/dnf)管理的软件完全隔离,这避免了未来通过包管理器更新系统时可能产生的文件冲突或意外覆盖。 - 易于回滚:如果新版本出现问题,回滚操作会非常简单,只需停止新服务,恢复旧的
sshd.service文件和旧的二进制文件即可,对系统的影响最小。 - 清晰管理:管理员可以清晰地分辨哪些是系统自带的软件,哪些是后来手动编译安装的,便于长期维护和管理,直接覆盖系统文件则会破坏这种清晰性,增加系统管理的复杂性和风险。
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复