各系统升级openssh

前言

该文档只适用用于服务器Redhat，centos，Ubuntu和suse系统的openssh升级。需要注意必须要一台一台升级，因为每台系统的环境都不一样，脚本跑出的结果也不一样，所以每个脚本我都加了人机交互的功能，确定没问题了才能进行下一步，避免升级失败带来麻烦。

     我的升级方式：

1、登录**.**.**.**，用于测试Telnet，不能通过端口来判断Telnet是否打开，因为有些服务器开启防火墙限制，就算端口打开了，其他机器也不一定能登录。**.**.**.**长时间不动也不会断开。故选该机器。

2、登录**.**.**.**，通过user01用户，批量将相关的脚本和包发送到对应的服务器/tmp目录，并用该机器测试ssh是否正常。

3、直接登录服务器执行升级升级脚本。按照脚本提示测试相关功能，功能正常则进行下一步。

一、升级原理

openssh依赖两个包：zlib-1.2.8.tar.gz，openssl-1.0.1k.tar.gz
（目前服务器均已安装这两个包，升级的时候可以直接先升级openssh，有问题再指定这两个包）
#安装zlib  在光盘中--如有保留
NFJD-YYXX-MYSQL02:~/openssh-7.9p1 # rpm -qa | grep zlib
zlib-32bit-1.2.7-0.10.128
zlib-1.2.7-0.12.3

#安装zlib,构建共享库

tar -zxvf zlib-1.2.8.tar.gz
cd zlib-1.2.8
./configure --shared
/usr/bin/make install
cp zutil.h /usr/local/include
cp zutil.c /usr/local/include
/sbin/ldconfig -v

##进入安装包上传目录，解压openssl

tar -zxvf openssl-1.0.1k.tar.gz
cd openssl-1.0.1k
./config shared zlib
/usr/bin/make
/usr/bin/make install

#修改配置文件，显示正常版本信息

mv /usr/bin/openssl /usr/bin/openssl.bak
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
/sbin/ldconfig -v

##软件安装之-Openssh安装

##禁用sshd服务，卸载原来的openssh版本，不要乱删除软件

/sbin/service sshd stop
cp /etc/init.d/sshd /root/
rpm -e openssh-6.2p2-0.9.1 --nodeps
rpm -e openssh-6.2p2-0.9.1

若是系统自带才需要卸载，若是源码编译安装的则不需要卸载。
##解压缩openssh安装包，并进入解压缩文件编译安装
tar -zxvf openssh-8.0p1.tar.gz
cd openssh-8.0p1
./configure —prefix=/usr —with-md5-passwords —with-ssl-dir=/usr/local/openssl —with-zlib=/usr/local/zlib
/usr/bin/make
/usr/bin/make install

##启动调试ssh
#OS SUSE
cd contrib/suse
cp rc.sshd /etc/init.d/sshd
chmod +x /etc/init.d/sshd
chkconfig —add sshd

#OS redhat 和centos
cd contrib/redhat
cp sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd
chkconfig —add sshd

#OS Ubuntu
使用原来的ssh文件（升级之前需要备份下面两个文件）：
cp /etc/init.d/ssh /etc/init.d/ssh.${updateTime}
mv /etc/ssh /etc/ssh.${updateTime}

重启服务：
suse、Redhat和centos：service sshd restart
Ubuntu：service ssh restart

相关技巧：

1、查看系统版本号：cat /etc/issue，uname -a

2、需要四个包： openssh-8.0p1.tar，openssl-1.0.1k.tar，telnet-server，zlib-1.2.8

3、安装gcc gcc-c++（各系统安装方式看下面步骤）

4、必须开启Telnet，安全问题，这里不说了。

二、Redhat系统升级openssh

说明：

Redhat开启telnet服务

a）vi /etc/xinetd.d/telnet，将disable=yes改成disable=no；

b）启动telnet服务server xinet drestart或者/etc/init.d/xinetd restart使更改生效。

关闭telnet服务

a）vi /etc/xinetd.d/telnet，将disable=no改成disable=yes；

b）重启xinted服务/etc/init.d/xinetd restart

问题：若发现Telnet已开，但是远程Telnet测试不通，则检查机器防火墙是否已打开。

redhat7.4开启telnet，直接开启，不需要xinetd托管：

systemctl start telnet.socket
systemctl start xinetd

1.1 升级脚本

#!/bin/bash
#该脚本用于红帽系统更新
#author：chentufeng
#createTime：2019 05 28
updateTime=`date +"%Y%m%d"`
verSSH="8.0p1"
#安装Telnet服务
yum -y install telnet-server
# Function  : 定义启动关闭Telnet服务函数
# Parameter : $1     kai  or   guan    
#             
#
stop_start_telnet(){
    if [ $1 == "kai" ];then
        sed -i   's@disable[[:space:]][[:space:]]*=[[:space:]][[:space:]]*yes@disable         = no@g' /etc/xinetd.d/telnet
    elif [ $1 == "guan" ];then
        sed -i   's@disable[[:space:]][[:space:]]*=[[:space:]][[:space:]]*no@disable         = yes@g' /etc/xinetd.d/telnet
    else    
        echo "目前Telnet处于打开的状态，请知悉！！！"
        exit 1
    fi
    /etc/init.d/xinetd restart
}
stop_start_telnet kai
    read -t 360 -p "请测试Telnet是否能通，是否继续安装？(y or n)" jixu
    if [ ${jixu} == "n" ];then
        echo "停止安装!"
        exit 1
    fi
tar -zxvf openssh-${verSSH}.tar.gz
echo -e "n\n\n\n\ SSH目前版本是："
ssh -V
echo -e
read -t 360 -p "是否升级:(y or n)" updateSSH
if [ ${updateSSH} == "y" ];then
    cd openssh-${verSSH}
    ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords
    /usr/bin/make
    if [ $? -eq 0 ];then
        /usr/bin/make install
        if [ $? -eq 0 ];then
                cd contrib/redhat
                mv /etc/init.d/sshd /etc/init.d/sshd.old.${updateTime}
                cp sshd.init /etc/init.d/sshd
                chmod 755 /etc/init.d/sshd
                chkconfig --add sshd
                /etc/init.d/sshd restart
        else
            echo "${hostIP} ssh安装失败！"
            exit 1
        fi
    else
        echo "openssh升级失败！！！！！！！！！"
        exit 1
    fi
else
    echo "${hostIP} 不做升级!"
    exit 1
fi
echo -e "\n\n\n 现在版本是："
ssh -V
echo "请测试openssh是否可用！！！！可用的话请输入“guan”，关闭Telnet服务，否则直接回车或输入“kai”"
read -t 360 -p "是否需要关闭Telnet服务？(kai or guan)" telnetStatus
stop_start_telnet ${telnetStatus}

1.2 可能遇到的问题

1.2.1 Telnet没安装

问题：sed: can’t read /etc/xinetd.d/telnet: No such file or directory

updateOpenssh.sh: line 22: /etc/init.d/xinetd: No such file or directory

解决：yum -y install telnet-server telnet

若发现yum安装报错，但是这个yum源能用的，可使用下面命令将rpm包下载下来。

wget http://*****8/yum-redhat66.10/Packages/telnet-server-0.17-48.el6.x86_64.rpm

wget http://\*\*\*\*/yum-redhat66.10/Packages/telnet-0.17-48.el6.x86\_64.rpm

wget http://\*\*\*\*\*/yum-redhat66.10/Packages/xinetd-2.3.14-40.el6.x86\_64.rpm

安装:

rpm -ivh *.rpm

1.2.2 openssl-devel没安装

问题：configure: error: *** working libcrypto not found, check config.log
redhat解决方法：yum -y install openssl-devel
suse OS解决方法：指定openssl安装路径--with-ssl-dir=

三、centos系统升级openssh

说明：

centos6.x开启telnet服务（centos7.x需要用systemctl来启动xinetd）

a）vi /etc/xinetd.d/telnet，将disable=yes改成disable=no；

b）启动telnet服务server xinet drestart或者/etc/init.d/xinetd restart使更改生效。

关闭telnet服务

a）vi /etc/xinetd.d/telnet，将disable=no改成disable=yes；

b）重启xinted服务/etc/init.d/xinetd restart

问题：若发现Telnet已开，但是远程Telnet测试不通，则检查机器防火墙是否已打开。

脚本可以用Redhat的，若是centos7.x系统，将脚本中/etc/init.d/xinetd restart改成systemctl restart xinetd

四、suse系统升级openssh

说明：

suse开启telnet服务

a）vi /etc/xinetd.d/telnet，将disable=yes改成disable=no；

b）启动telnet服务server xinet drestart或者/etc/init.d/xinetd restart使更改生效。

关闭telnet服务

a）vi /etc/xinetd.d/telnet，将disable=no改成disable=yes；

b）重启xinted服务/etc/init.d/xinetd restart

问题：若发现Telnet已开，但是远程Telnet测试不通，则检查机器防火墙是否已打开。

1.1 升级脚本

#!/bin/bash
#该脚本用于suse系统更新
#author：chentufeng 
#createTime：2019 05 28
updateTime=`date +"%Y%m%d"`
verSSH="8.0p1"
#安装telnetzypper
zypper  in telnet-server 
# Function  : 定义启动关闭Telnet服务函数
# Parameter : $1     kai  or   guan    
#             
#
stop_start_telnet(){
    if [ $1 == "kai" ];then
        sed -i   's@disable[[:space:]][[:space:]]*=[[:space:]][[:space:]]*yes@disable         = no@g' /etc/xinetd.d/telnet
    elif [ $1 == "guan" ];then
        sed -i   's@disable[[:space:]][[:space:]]*=[[:space:]][[:space:]]*no@disable         = yes@g' /etc/xinetd.d/telnet
    else    
        echo "目前Telnet处于打开的状态，请知悉！！！"
        exit 1
    fi
    /etc/init.d/xinetd restart
}
stop_start_telnet kai
    read -t 360 -p "请测试Telnet是否能通，是否继续安装？(y or n)" jixu
    if [ ${jixu} == "n" ];then
        echo "停止安装!" 
        exit 1
    fi
tar -zxvf openssh-${verSSH}.tar.gz
echo -e "n\n\n\n\ SSH目前版本是："
ssh -V
echo -e
read -t 60 -p "是否升级:(y or n)" updateSSH
if [ ${updateSSH} == "y" ];then
    cd openssh-${verSSH}
    ./configure --prefix=/usr --sysconfdir=/etc/ssh  --with-md5-passwords  --with-ssl-dir=/usr/local/openssl
    /usr/bin/make
    if [ $? -eq 0 ];then
        #备份源文件
        mv /etc/ssh /etc/ssh.${updateTime}        
/usr/bin/make install
        if [ $? -eq 0 ];then
                cd contrib/suse 
                mv /etc/init.d/sshd /etc/init.d/sshd.old.${updateTime}
                cp rc.sshd /etc/init.d/sshd
                chmod 755 /etc/init.d/sshd
                chkconfig --add sshd
                /etc/init.d/sshd restart
        else
            echo "${hostIP} ssh安装失败！" 
            exit 1 
        fi
    else
        echo "${hostIP} ssh安装失败！" 
        exit 1 
    fi
else
    echo "${hostIP} 不做升级!"
    exit 1
fi
echo -e "n\n\n\n\ SSH目前版本是："
ssh -V
echo -e
echo "请测试openssh是否可用！！！！可用的话请输入“guan”，关闭Telnet服务，否则直接回车或输入“kai”"
read -t 360 -p "是否需要关闭Telnet服务？(kai or guan)" telnetStatus
stop_start_telnet ${telnetStatus}

1.2 可能遇到的问题

1.2.1 Telnet没安装

suse系统安装Telnet：

suse系统源存放目录：/etc/zypp/repos.d

1、suse配置zypper源

zypper ar http://\*\*\*\*:88/suse11\_SP3/ suse_20.229

zypper update 必须更新一下源，否则有些机器后面执行zypper命令会自动生成旧的repo源文件，导致安装失败。

2、安装Telnet

zypper in telnet-server

1.2.2 安装ssh成功，但是重启连接不上

查看是否存在sshd进程，切记不要把现在自己连着的进程杀掉，若不小心杀掉只能通过telnet方式进去。如下面查出来的，存在三个进程，导致sshd无法启动的，将相关的进程杀掉之后，重启服务即可。

# ps -ef|grep ssh

root 6533 1 0 11:12 ? 00:00:00 /usr/sbin/sshd -o PidFile=/var/run/sshd_heart.init.pid -f /etc/ssh/sshd_heart_config

root 6547 1 0 11:12 ? 00:00:00 /usr/sbin/sshd -o PidFile=/var/run/sshd_virtual.init.pid -f /etc/ssh/sshd_virtual_config

root 6569 1 0 11:12 ? 00:00:00 /usr/sbin/sshd -o PidFile=/var/run/sshd_intranet.init.pid -f /etc/ssh/sshd_intranet_config

1.2.3 找不到openssl库文件

问题：configure: error: *** working libcrypto not found, check config.log
redhat解决方法：yum -y install openssl-devel
suse OS解决方法：安装openssl之后，编译指定openssl安装路径--with-ssl-dir
1.2.4 安装成功之后root用户查看ssh -V没问题，但是user01查看版本提示下面错误：
OpenSSL version mismatch. Built against 100020bf, you have 1000103f
原因：/etc/profile 设置umask 077，导致root用户创建文件的时候权限是700，即新安装的openssl权限不足，导致普通用户查看不到openssl文件。
解决：chmod 755 /usr/local/openssl -R

五、Ubuntu系统升级openssh

说明：

ubuntu内网可用源：

vim /etc/apt/sources.list

deb http://192.168.20.\*:88/ubuntu/ precise main multiverse restricted universe

deb http://192.168.20.\*:88/ubuntu/ precise-backports main multiverse restricted universe

deb http://192.168.20.\*:88/ubuntu/ precise-proposed main multiverse restricted universe

******省略

更新源：
apt-get update

安装telnet**：**

apt-get -y —force-yes install openbsd-inetd

apt-get -y —force-yes install telnetd

安装完之后可看到下面信息输出：

cat /etc/inetd.conf | grep telnet

telnet stream tcp nowait telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd

启动telnet**服务：**

/etc/init.d/openbsd-inetd start

问题：有时候启动xinetd服务提示没发现telnetd服务，可能是inetd.conf的telnet配置被注释掉了，取消注释重启即可。

1.1 升级脚本

#!/bin/bash
#该脚本用于ubuntu系统更新
#author：chentufeng 
#createTime：2019 05 28
updateTime=`date +"%Y%m%d"`
verSSH="8.0p1"
#安装telnet服务
#ubuntu 源放位置：/etc/apt/sources.list
#apt-get update
apt-get -y --force-yes install openbsd-inetd
apt-get -y --force-yes install telnetd
# Function  : 定义启动关闭Telnet服务函数
# Parameter : $1     kai  or   guan    
#             
#
stop_start_telnet(){
    if [ $1 == "kai" ];then
        /etc/init.d/openbsd-inetd start
    elif [ $1 == "guan" ];then
        /etc/init.d/openbsd-inetd stop
    else    
        echo "目前Telnet处于打开的状态，请知悉！！！"
        exit 1
    fi
}
stop_start_telnet kai
    read -t 360 -p "请测试Telnet是否能通，是否继续安装？(y or n)" jixu
    if [ ${jixu} == "n" ];then
        echo "停止安装!" 
        exit 1
    fi
tar -zxvf openssh-${verSSH}.tar.gz
echo -e
echo "目前版本为："
ssh -V
echo -e "\n \n"
read -t 60 -p "是否升级:(y or n)" updateSSH
if [ ${updateSSH} == "y" ];then
    cd openssh-${verSSH}
    ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords -with-ssl-dir=/usr/local/openssl
    /usr/bin/make
    if [ $? -eq 0 ];then
        # 备份原openssh文件
        cp /etc/init.d/ssh /etc/init.d/ssh.${updateTime}
        mv /etc/ssh /etc/ssh.${updateTime}
        mv /usr/bin/ssh /usr/bin/ssh.${updateTime}
        /usr/bin/make install
        if [ $? -eq 0 ];then
            #systemVer=`awk '{print $1}' /etc/redhat-release`
                cd /etc/ssh
                mv sshd_config sshd_config.default
                cp ../ssh.${updateTime}/sshd_config ./
                echo "/etc/init.d/ssh restart"  >>/etc/rc.local
                service ssh  restart
                ls -l /etc/init.d/ssh
                ls -l /etc/ssh
        else
            echo "${hostIP} ssh安装失败！" 
            exit 1 
        fi 
    else 
        echo "openssh升级失败！！！！！！！！！"
        exit 1 
    fi
else
    echo "${hostIP} 不做升级!"
    exit 1
fi
echo -e
echo "目前版本为："
ssh -V
echo "请测试openssh是否可用！！！！可用的话请输入“guan”，关闭Telnet服务，否则直接回车或输入“kai”"
read -t 360 -p "是否需要关闭Telnet服务？(kai or guan)" telnetStatus
stop_start_telnet ${telnetStatus}

1.2 可能遇到的问题

1.2.1 openssl版本过低

configure: error: OpenSSL version header not found.

make: *** No targets specified and no makefile found. Stop.

OpenSSH_6.2p2, OpenSSL 0.9.8j-fips 07 Jan 2009

解决：升级openssl

1.2.2 报下面错误

configure: error: Your OpenSSL headers do not match your

    library. Check config.log for details.
    If you are sure your installation is consistent, you can disable the check
    by running "./configure --without-openssl-header-check".
    Also see contrib/findssl.sh for help identifying header/library mismatches.

以上报错处理方法都一样，尝试过多种方法，下面三种可以解决：

1**、先重装下面软件，再重新编译ssh**

移除多余的文件：

mv /lib/x86_64-linux-gnu/libcrypto.so.1.0.0.lib_x86 ~/bak/

mv /lib/x86_64-linux-gnu/libssl.so.1.0.0.usr_lib ~/bak/

重装：

apt-get install openssl* libssl-dev openssh* —reinstall

2**、重新安装openssl，指定ssl的库文件和安装目录**

echo “/usr/local/openssl/lib” >> /etc/ld.so.conf

/sbin/ldconfig -v

编译ssh的时候加-with-ssl-dir=/usr/local/openssl

3**、先用第一种方法恢复默认openssl和ssl库，再用第二种方法**

1.2.3 找不到库文件

configure: error: *** working libcrypto not found, check config.log

解决：编译ssh的时候加-with-ssl-dir=/usr/local/openssl

六、redhat7.4升级openssh

1.1 升级脚本：

#!/bin/bash
#该脚本用于北方机器红帽系统7.4更新
#author：chentufeng 
#createTime：2019 06 19
updateTime=`date +"%Y%m%d"`
verSSH="8.0p1"
#安装Telnet服务
yum -y install telnet-server
# Function  : 定义启动关闭Telnet服务函数
# Parameter : $1     kai  or   guan    
#             
#
stop_start_telnet(){
        if [ $1 == "kai" ];then
                systemctl start telnet.socket
                systemctl start xinetd
                echo "telnet 已开启........"
        elif [ $1 == "guan" ];then
                systemctl stop telnet.socket
                systemctl stop xinetd
                echo "telnet 已关闭........"
        else
                echo "目前Telnet处于打开的状态，请知悉！！！"
                exit 1
        fi
}
stop_start_telnet kai
        read -t 360 -p "请测试Telnet是否能通，是否继续安装？(y or n)" jixu
        if [ ${jixu} == "n" ];then
                echo "停止安装!" 
                exit 1
        fi
tar -zxvf openssh-${verSSH}.tar.gz
echo -e "n\n\n\n\ SSH目前版本是："
ssh -V
echo -e
read -t 360 -p "是否升级:(y or n)" updateSSH
if [ ${updateSSH} == "y" ];then
        cd openssh-${verSSH}
        ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords
        /usr/bin/make
        if [ $? -eq 0 ];then
            mv /etc/ssh /etc/ssh.${updateTime}
            mv /etc/init.d/sshd /etc/init.d/sshd.${updateTime}
            mv /usr/bin/ssh /usr/bin/ssh.${updateTime}
            mv /usr/sbin/sshd  /usr/sbin/sshd.${updateTime}
            /usr/bin/make install
            if [ $? -eq 0 ];then
                cd contrib/redhat 
                cp sshd.init /etc/init.d/sshd
                chmod 755 /etc/init.d/sshd
                chkconfig --add sshd
                /etc/init.d/sshd restart
            else
                echo "${hostIP} ssh安装失败！" 
                exit 1 
            fi
        else 
                echo "openssh升级失败！！！！！！！！！"
                exit 1 
        fi
else
        echo "${hostIP} 不做升级!"
        exit 1
fi
echo -e "\n\n\n 现在版本是："
ssh -V
echo "请测试openssh是否可用！！！！可用的话请输入“guan”，关闭Telnet服务，否则直接回车或输入“kai”"
read -t 360 -p "是否需要关闭Telnet服务？(kai or guan)" telnetStatus
stop_start_telnet ${telnetStatus}

1.2 可能遇到的问题：

service sshd restart —卡主很久，然后报下面错

Restarting sshd (via systemctl):

Job for sshd.service failed because a timeout was exceeded. See “systemctl status sshd.service” and “journalctl -xe” for details.[FAILED]

原因：sshd的启动文件路径改动

解决方法：

找到旧的sshd文件：locate sshd.service

/usr/lib/systemd/system/sshd.service

删除或者改名：

mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service.20190619

重新加载：

systemctl daemon-reload

再重新启动sshd：

service sshd restart

附录

1.1 升级openssl

可能会报openssl的错：如找不到openssl头文件，或者openssl版本不一致等，都可以使用指定openssl（—with-ssl-dir）来进行编译安装解决。

查看原来版本：

openssl version -a

OpenSSL 1.1.0……

由于1.1版本和openssh冲突，需要降级到1.0.2

注意：一般有些机器前同事在升级openssh其他版本的时候已经安装了1.0.2，只是没有配置环境，你的解决方法有如下：

1、使用已经安装好的openssl来升级openssh（加参数：—with-ssl-dir=/usr/local/openssl），需添加库目录到/etc/ld.so.conf。参考下面步骤！

2、自己新装一个openssl

步骤如下：

tar zxvf openssl-1.0.2k.tar.gz

cd openssl-1.0.2k/

./config —shared zlib-dynamic —prefix=/usr/local/openssl

make

make test

make install

echo “/usr/local/openssl/lib” >> /etc/ld.so.conf

/sbin/ldconfig -v

mv /usr/bin/openssl /usr/bin/openssl.20190604

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

mv /usr/include/openssl /usr/include/openssl.20190604

ln -s /usr/local/openssl/include/openssl /usr/include/openssl

mv /usr/local/bin/openssl /usr/local/bin/openssl.20190604

ln -s /usr/local/openssl/bin/openssl /usr/local/bin/openssl

问题：若做完上述步骤，使用openssl version查看还是1.1版本，可能是/etc/ld.so.conf文件还配置了其他的lib。

cat /etc/ld.so.conf 发现include /etc/ld.so.conf.d/*.conf配置，发现这个子目录还包含其他lib，需要改成openssl路径：/usr/local/openssl/lib，再/sbin/ldconfig -v，再查看下版本即可。