OpenSSH【安装 01】OpenSSH漏洞修复（离线升级最新版本流程）网盘分享3个安装包+26个离线依赖（重要更新）

本文仅针对CentOS7.8版本，其他版本未测试，安装包文件放置在/home/openssh目录下，某些命令包含此路径。

1.漏洞信息

OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

• 7.7及之前版本中存在竞争条件问题漏洞。该漏洞源于网络系统或产品在运行过程中，并发代码需要互斥地访问共享资源时，对于并发访问的处理不当。
• 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中，网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。
• 7.6之前的版本中的sftp-server.c文件的‘process_open’函数存在安全漏洞，该漏洞源于程序在只读模式下没有正确的阻止写入操作。攻击者可利用该漏洞创建长度为零的文件。
• 5.7版本至8.3版本的客户端中存在信息泄露漏洞。攻击者可利用该漏洞获取信息。
• 7.8及之前版本中的auth-gss2.c文件存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。

2.环境说明

# 系统版本
CentOS Linux release 7.8.2003 (Core)
# Python版本【2.7.5会报错】
Python 2.7.15
# 当前OpenSSH版本
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

3.依赖安装

3.1 在线安装

# X.用于编译zlib【亲测不用安装】可忽略
yum install gcc gcc-c++ make -y 

# 1.用于编译openssl【需要联网】
yum install perl-CPAN perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker -y 

image.png

3.2 离线安装

# 1.【已下载】的26个依赖文件
perl-IPC-Cmd-0.80-4.el7.noarch.rpm
pyparsing-1.5.6-9.el7.noarch.rpm
gdbm-devel-1.10-8.el7.x86_64.rpm
perl-Test-Harness-3.28-3.el7.noarch.rpm
perl-ExtUtils-Manifest-1.61-244.el7.noarch.rpm
perl-version-0.99.07-6.el7.x86_64.rpm
perl-Perl-OSType-1.003-3.el7.noarch.rpm
perl-Module-Load-Conditional-0.54-3.el7.noarch.rpm
libdb-devel-5.3.21-25.el7.x86_64.rpm
perl-Module-Load-0.24-3.el7.noarch.rpm
perl-ExtUtils-MakeMaker-6.68-3.el7.noarch.rpm
perl-local-lib-1.008010-4.el7.noarch.rpm
perl-Data-Dumper-2.145-3.el7.x86_64.rpm
perl-Digest-1.17-245.el7.noarch.rpm
perl-Module-Metadata-1.000018-2.el7.noarch.rpm
perl-Digest-SHA-5.85-4.el7.x86_64.rpm
perl-Locale-Maketext-1.23-3.el7.noarch.rpm
perl-Params-Check-0.38-2.el7.noarch.rpm
perl-ExtUtils-ParseXS-3.18-3.el7.noarch.rpm
systemtap-sdt-devel-4.0-13.el7.x86_64.rpm
perl-devel-5.16.3-299.el7_9.x86_64.rpm
perl-ExtUtils-CBuilder-0.28.2.6-299.el7_9.noarch.rpm
perl-Locale-Maketext-Simple-0.21-299.el7_9.noarch.rpm
perl-ExtUtils-Install-1.58-299.el7_9.noarch.rpm
perl-Module-CoreList-2.76.02-299.el7_9.noarch.rpm
perl-CPAN-1.9800-299.el7_9.noarch.rpm

# 2.安装
rpm -ivh --force *.rpm

4.备份卸载

这里一定要注意，如果使用的是工具连接的服务器，此时最好多打开几个窗口，sshd服务停止之后旧连接可以使用但是无法建立新的连接，也可以安装telnet进行服务器连接（使用telnet后云服务器报恶意文件，查看之后都是telnet的用户创建的，能不用的话尽量还是不要用，毕竟又打开了一个可能遭遇暴力破解的端口）。

4.1 备份

# 1.停止ssh服务
systemctl stop sshd

# 2.备份ssh文件
cp -r /etc/ssh /etc/ssh.old
cp -p /usr/bin/ssh /usr/bin/ssh.bak
cp -p /usr/sbin/sshd /usr/sbin/sshd.bak
cp -p /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak

4.2 卸载旧版本

# 1.查询原有ssh包并卸载
rpm -qa | grep openssh
openssh-7.4p1-23.el7_9.x86_64
openssh-clients-7.4p1-23.el7_9.x86_64
openssh-server-7.4p1-23.el7_9.x86_64

# 2.卸载
rpm -e --nodeps openssh-7.4p1-23.el7_9.x86_64
rpm -e --nodeps openssh-clients-7.4p1-23.el7_9.x86_64
rpm -e --nodeps openssh-server-7.4p1-23.el7_9.x86_64

# 合并脚本
rpm -e --nodeps $(rpm -qa | grep openssh)

# 3.验证
rpm -qa | grep openssh

5.安装

5.1 zlib

直接下载或官网下载后上传zlib-1.3.1.tar.gz文件：

# 1.下载
wget https://zlib.net/current/zlib.tar.gz

# 2.解压文件
tar -zxvf zlib.tar.gz
cd  zlib-1.3.1

# 3.编译安装zlib
./configure --prefix=/usr/local/zlib
make && make install

5.2 ssl

直接下载或官网下载后上传openssl-3.2.0.tar.gz文件：

# 0.直接下载【根据版本需要进行下载】
wget https://www.openssl.org/source/old/3.2/openssl-3.2.0.tar.gz

# 1.解压文件
tar -zxvf openssl-3.2.0.tar.gz
cd openssl-3.2.0
 
# 2.编译安装
# --prefix指定编译到的目录 --shared作用是生成动态链接库（即.so库）
./config  --prefix=/usr/local/ssl  --shared
# 编译安装ssl【10分钟左右】
make && make install
 
# 3.路径写入etc/ld.so.conf  
# 这里有网友遇到过问题(32位系统兼容问题) 命令已修复从lib64改为lib 这样64位和32位置系统都能可以正常使用
echo '/usr/local/ssl/lib64' >> /etc/ld.so.conf
# echo '/usr/local/ssl/lib' >> /etc/ld.so.conf

# 4.刷新库文件
ldconfig -v

5.3 openssh

5.3.1 安装

直接下载或官网下载后上传openssh-9.7p1.tar.gz：

# 0.直接下载【最新版本】注意跟下载后上传的版本不是一样的
wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.7.tar.gz

# 1.解压
tar -zxvf openssh-9.7p1.tar.gz
cd openssh-9.7p1

# 2.编译安装【3分钟左右】
./configure --prefix=/usr/local/ssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl
make -j 4 && make install

• -j 4: 这是一个选项，用于指定同时执行的编译任务数（即并行度）。这里的数字 4 表示允许同时运行4个编译任务。启用多任务并行编译可以显著加快编译速度，特别是对于大型项目或具有多个相互独立模块的软件。通过使用 -j 参数，系统可以利用多核处理器的优势，同时处理多个编译任务，从而缩短整体编译时间。5.3.2 配置# 1.ssh允许root登录 需要密码进行验证 echo 'PermitRootLogin yes' >> /usr/local/ssh/etc/sshd_config echo 'PubkeyAuthentication yes' >>/usr/local/ssh/etc/sshd_config echo 'PasswordAuthentication yes' >>/usr/local/ssh/etc/sshd_config # 2.将编译安装的新配置文件拷贝到原路径下 cp /usr/local/ssh/bin/ssh /usr/bin/ssh cp /usr/local/ssh/sbin/sshd /usr/sbin/sshd cp /usr/local/ssh/bin/ssh-keygen /usr/bin/ssh-keygen cp /usr/local/ssh/etc/sshd_config /etc/ssh/sshd_config cp /usr/local/ssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub # 3.拷贝启动脚本 cp -p /opt/openssh/openssh-9.7p1/contrib/redhat/sshd.init /etc/init.d/sshd # 4.给sshd添加可执行权限 chmod +x /etc/init.d/sshd # 5.设置开机自启 systemctl enable sshd # 6.重新启动sshd服务 systemctl restart sshd # 7.查看sshd服务状态 systemctl status sshd # 8.查看ssh版本是否升级成功，可以查看到已经是9.5版本了 ssh -V OpenSSH_9.7p1, OpenSSL 3.2.0 23 Nov 2023至此新版本升级成功。感谢以下博主的分享： https://blog.csdn.net/morecccc/article/details/134758892 https://www.cnblogs.com/wjsqqj/p/17925907.html6.脚本整理# 1.依赖安装 rpm -ivh *.rpm # 2.停止sshd服务 systemctl stop sshd # 3.删除已安装的openssh rpm -e --nodeps $(rpm -qa | grep openssh) # 4.zlib安装 tar -zxvf zlib.tar.gz cd zlib-1.3.1 ./configure --prefix=/usr/local/zlib make && make install # 5.ssl安装 tar -zxvf openssl-3.2.0.tar.gz cd openssl-3.2.0 ./config --prefix=/usr/local/ssl --shared make && make install echo '/usr/local/ssl/lib64' >> /etc/ld.so.conf ldconfig -v # 6.openssh安装 tar -zxvf openssh-9.7p1.tar.gz cd openssh-9.7p1 ./configure --prefix=/usr/local/ssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl make -j 4 && make install # 7.ssh配置 echo 'PermitRootLogin yes' >> /usr/local/ssh/etc/sshd_config echo 'PubkeyAuthentication yes' >>/usr/local/ssh/etc/sshd_config echo 'PasswordAuthentication yes' >>/usr/local/ssh/etc/sshd_config # 2.将编译安装的新配置文件拷贝到原路径下 cp /usr/local/ssh/bin/ssh /usr/bin/ssh cp /usr/local/ssh/sbin/sshd /usr/sbin/sshd cp /usr/local/ssh/bin/ssh-keygen /usr/bin/ssh-keygen cp /usr/local/ssh/etc/sshd_config /etc/ssh/sshd_config cp /usr/local/ssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub cp -p /opt/openssh/openssh-9.7p1/contrib/redhat/sshd.init /etc/init.d/sshd chmod +x /etc/init.d/sshd systemctl enable sshd systemctl restart sshd systemctl status sshd7.文件资源链接：https://pan.baidu.com/s/1tUBYK4WzCiJBcCqQDOtQhw?pwd=8tfv

提取码：8tfv

image.png

8.更新日志

• 20250630 添加环境说明Python 2.7.15以及安装依赖的命令rpm -ivh --force *.rpm Python版本可能导致python(abi)依赖问题，未添加--force 由于包直接的依赖顺序，可能会导致无法安装。