CentOS7.6系统OpenSSH升级到openssh-9.3p2（漏洞修复）_openssh 9.3p2之前版本存在安全漏洞

前言

CentOS 7.6系统自带的ssh版本太老了，存在漏洞例如：

OpenSSH 代码问题漏洞CVE-2023-38408： OpenSSH 9.3p2之前版本存在安全漏洞，该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。

OpenSSH client 安全漏洞CVE-2016-1908：OpenSSH 7.2之前的版本中的client存在安全漏洞，该漏洞源于程序没有正确的处理生成身份验证cookie失败的情况。攻击者可利用该漏洞获取信任的X11转发权限。

OpenSSH J-PAKE授权问题漏洞CVE-2010-4478： 当J-PAKE启用时，OpenSSH 5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可以通过发送每一轮协议中的特制值绕过共享秘密信息的需求，并成功获得认证。

》》》

所以避免这些漏洞被利用，需要进行升级修复。本文教程适用升级到OpenSSH 9.3/9.3p1/9.3p2、OpenSSH 9.4/9.4p1、OpenSSH 9.5/9.5p1、OpenSSH 9.6/9.6p1。

升级OpenSSH的过程会需要依赖ZLIB、Perl、OpenSSL，升级OpenSSL可能会报错，可能还需要依赖PAM。所以先要离线下载这些依赖对应的包：zlib-1.2.13.tar.gz，perl-5.38.0.tar.gz，Linux-PAM-1.3.1.tar.xz，openssl-1.1.1w.tar.gz，openssh-9.3p2.tar.gz。（这也是安装的顺序）

注意：为避免升级openssh过程中断联，请安装telnet-server、telnet、xinetd。

1、安装/升级 zlib

tar -zxvf zlib-1.2.13.tar.gz
 
cd zlib-1.2.13
 
./configure --prefix=/usr/zlib

编译安装：

make && make install

[root@localhost zlib-1.2.13]# ./configure --prefix=/usr/zlib
Checking for gcc...
Checking for shared library support...
Building shared library libz.so.1.2.13 with gcc.
Checking for size_t... Yes.
Checking for off64_t... Yes.
Checking for fseeko... Yes.
Checking for strerror... Yes.
Checking for unistd.h... Yes.
Checking for stdarg.h... Yes.
Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().
Checking for vsnprintf() in stdio.h... Yes.
Checking for return value of vsnprintf()... Yes.
Checking for attribute(visibility) support... Yes.
[root@localhost zlib-1.2.13]# make && make install
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o adler32.o adler32.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o crc32.o crc32.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o deflate.o deflate.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o infback.o infback.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o inffast.o inffast.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o inflate.o inflate.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o inftrees.o inftrees.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o trees.o trees.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o zutil.o zutil.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o compress.o compress.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o uncompr.o uncompr.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o gzclose.o gzclose.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o gzlib.o gzlib.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o gzread.o gzread.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -c -o gzwrite.o gzwrite.c
ar rc libz.a adler32.o crc32.o deflate.o infback.o inffast.o inflate.o inftrees.o trees.o zutil.o compress.o uncompr.o gzclose.o gzlib.o gzread.o gzwrite.o 
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example example.o  -L. libz.a
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o minigzip.o test/minigzip.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip minigzip.o  -L. libz.a
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/adler32.o adler32.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/crc32.o crc32.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/deflate.o deflate.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/infback.o infback.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/inffast.o inffast.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/inflate.o inflate.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/inftrees.o inftrees.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/trees.o trees.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/zutil.o zutil.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/compress.o compress.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/uncompr.o uncompr.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/gzclose.o gzclose.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/gzlib.o gzlib.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/gzread.o gzread.c
gcc -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN  -DPIC -c -o objs/gzwrite.o gzwrite.c
gcc -shared -Wl,-soname,libz.so.1,--version-script,zlib.map -O3 -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o libz.so.1.2.13 adler32.lo crc32.lo deflate.lo infback.lo inffast.lo inflate.lo inftrees.lo trees.lo zutil.lo compress.lo uncompr.lo gzclose.lo gzlib.lo gzread.lo gzwrite.lo  -lc 
rm -f libz.so libz.so.1
ln -s libz.so.1.2.13 libz.so
ln -s libz.so.1.2.13 libz.so.1
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o examplesh example.o  -L. libz.so.1.2.13
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzipsh minigzip.o  -L. libz.so.1.2.13
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o example64.o test/example.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example64 example64.o  -L. libz.a
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o minigzip64.o test/minigzip.c
gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip64 minigzip64.o  -L. libz.a
rm -f /usr/zlib/lib/libz.a
cp libz.a /usr/zlib/lib
chmod 644 /usr/zlib/lib/libz.a
cp libz.so.1.2.13 /usr/zlib/lib
chmod 755 /usr/zlib/lib/libz.so.1.2.13
rm -f /usr/zlib/share/man/man3/zlib.3
cp zlib.3 /usr/zlib/share/man/man3
chmod 644 /usr/zlib/share/man/man3/zlib.3
rm -f /usr/zlib/lib/pkgconfig/zlib.pc
cp zlib.pc /usr/zlib/lib/pkgconfig
chmod 644 /usr/zlib/lib/pkgconfig/zlib.pc
rm -f /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
cp zlib.h zconf.h /usr/zlib/include
chmod 644 /usr/zlib/include/zlib.h /usr/zlib/include/zconf.h
[root@localhost zlib-1.2.13]# 

用find / -name libz.*查找zlib程序所在的相关位置

可以看到我的服务器下安装了两个版本的。

（一）替换第一个目录下的程序

卸载原zlib包，并替换新的。

cd /lib64
 
rm -rf  /usr/lib64/libz.so.1.2.7
 
rm -rf  /usr/lib64/libz.so.1
 
rm -rf  /usr/lib64/libz.so

复制新的程序到/lib64/目录下

cp /usr/zlib/lib/libz.so.1.2.13 /usr/lib64/
 
cp /usr/zlib/lib/libz.so.1 /usr/lib64/
 
cp /usr/zlib/lib/libz.so /usr/lib64/

软链接重定向为新文件

ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so.1
 
ln -snf /usr/lib64/libz.so.1.2.13 /usr/lib64/libz.so

（二）替换第二个目录下的程序。

cd /usr/local/lib/
 
rm -rf libz.*
 
cp /usr/zlib/lib/libz.* /usr/local/lib/
 
ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so.1
 
ln -snf /usr/local/lib/libz.so.1.2.13 /usr/local/lib/libz.so

刷新系统库文件

ldconfig

2、升级 Perl

perl -v   //查看perl版本 过低就不支持高版本的openssh更新

tar -zxf perl-5.38.0.tar.gz
 
cd perl-5.38.0
 
指定编译安装路径：
 
./Configure -de

编译安装：

make && make install

##但这只是安装完成了，系统调用还是旧版，要把旧版本替换掉。

备份旧程序

mv /usr/bin/perl /usr/bin/perl.bak

建立新的软连接，使安装的perl生效

ln -s /usr/local/bin/perl /usr/bin/perl

检测perl -v

3、安装pam-devel

tar -xf Linux-PAM-1.3.1.tar.xz
 
cd Linux-PAM-1.3.1

指定编译安装路径：

./configure

[root@localhost ~]# tar -xf Linux-PAM-1.3.1.tar.xz 
[root@localhost ~]# cd Linux-PAM-1.3.1/
[root@localhost Linux-PAM-1.3.1]# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /usr/bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking whether make supports nested variables... yes
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking for style of include used by make... GNU
checking for gcc... gcc
checking whether the C compiler works... yes
...
...
config.status: creating doc/Makefile
config.status: creating doc/specs/Makefile
config.status: creating doc/man/Makefile
config.status: creating doc/sag/Makefile
config.status: creating doc/adg/Makefile
config.status: creating doc/mwg/Makefile
config.status: creating examples/Makefile
config.status: creating tests/Makefile
config.status: creating xtests/Makefile
config.status: creating config.h
config.status: executing depfiles commands
config.status: executing libtool commands
config.status: executing po-directories commands
config.status: creating po/POTFILES
config.status: creating po/Makefile
[root@localhost Linux-PAM-1.3.1]# 

编译安装：

make && make install

4、升级 openssl

查看openssl的版本 最低不能低于1.1.1

ssh -V   

openssl version -a

备份旧程序

cp /usr/bin/openssl /usr/bin/openssl.old
 
cp -r /usr/include /usr/includeold

编译安装

tar -zxvf openssl-1.1.1w.tar.gz
 
cd openssl-1.1.1w
 
./config --prefix=/usr --shared

使用命令进行编译：

make

安装：

make install

查看版本：

openssl version -a

如果上述方法升级openssl不成功，试试下面两个方法。

（1）--编译 openssl

tar -xvf openssl-1.1.1w.tar.gz
 
cd openssl-1.1.1w
 
./config shared --openssldir=/usr/local/openssl --prefix=/usr/local/openssl

编译安装：

make && make install

配置

echo "/usr/local/lib64/" >> /etc/ld.so.conf
 
ldconfig

mv /usr/bin/openssl /usr/bin/openssl.old
 
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
 
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
 
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
 
更新库：
 
ldconfig -v

（2）编译源码安装。

tar -xzvf openssl-1.1.1w.tar.gz
 
cd openssl-1.1.1w
 
./config     #不带任何参数。

编译安装：

make && make install

升级后如果执行 openssl version 命令出现:

openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory错误。执行以下命令即可。

ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
 
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

升级后如果执行 openssl version 命令出现:

openssl: /usr/lib/mic_lib/libssl.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)
openssl: /usr/lib/mic_lib/libcrypto.so.1.1: version `OPENSSL_1_1_1' not found (required by openssl)。

使用命令删除即可。

rm -rf /usr/lib/mic_lib/libssl.so.1.1
 
rm -rf /usr/lib/mic_lib/libcrypto.so.1.1

5、进行openssh离线更新

先进行相关文件备份

cp /etc/pam.d/sshd /etc/pam.d/sshd20240117
 
cp -r /etc/ssh /etc/ssh20240117

开始进行解压缩然后进行相关操作

tar -xzvf openssh-9.3p2.tar.gz
 
cd openssh-9.3p2

停止SSH程序

systemctl stop sshd.service

删除旧的ssh程序

rm -rf /etc/ssh

指定编译安装路径与参数：

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-ssl-dir=/usr/ssl

编译安装：

make && make install

复制启动程序脚本到/etc/init.d/下

cd contrib/redhat
 
cp sshd.init /etc/init.d/sshd

设置开机自启

systemctl enable sshd
 
chkconfig sshd --list

把配置文件和程序恢复

cp  /etc/ssh20240117/sshd_config /etc/ssh/sshd_config
 
cp /etc/pam.d/sshd20240117 /etc/pam.d/sshd

检查ssh配置

sshd -t   #提示79、80行报错

编辑vi  /etc/ssh/sshd_config配置文件，将79、90行注释。

然后使用配置文件启动程序

/usr/sbin/sshd -t -f /etc/ssh/sshd_config
 
systemctl start sshd.service

7、openssh升级后问题处理

（一）Linux SSH Access denied（拒绝访问）

编辑配置文件：

vim /etc/ssh/sshd_config

修改 PermitRootLogin 为 yes

（二）Openssh程序不断重启。

配置文件什么的没有报错，但状态不为Active: active (running)，而是activating (start)。

修改/usr/lib/systemd/system/sshd.service中，相应的可执行文件目录。

将Type=nofify改为：Type=forking（或者注释）

并且去掉启动sshd的 -D参数

systemctl daemon-reload
 
systemctl start sshd.service

再查看一下状态

systemctl status sshd.service

最后查看一下OpenSSH版本：