RedhatLinux6.5-OpenSSH升级安装步骤

各位朋友，Redhat Linux最新发布了6.5版本，不过这个版本仍旧是使用的三年前的OpenSSH版本，而我们国家对网络安全越来越重视，电信级的现网系统，每月都进行安全扫描，你们是否同样遇到这个问题了？安全扫描会报OpenSSH有较高级别的漏洞，需要更新版本！这可是才发布两个月的新系统啊，Redhat应该对此做出解释！为什么不更新OpenSSH？

不过说归说，这Redhat不更新，我们也没办法，问题还是要处理。去网上找了半天，发现没有适合Redhat Linux 6.5使用的RPM包下载，只能下载到源代码版，需要去现网编译安装，我了个去！现网机器几十台，20多个省，这要累死某家么？并且现网的机器多数都没有安装gcc，没法编译，没办法，只好自己来制作RPM包了。

好了，废话不多说，如何制作RPM不多说了，制作过程中修改spec文件中的N处问题，也不提了，反正是做出RPM包来了。此包只适用于Redhat Linux 6.5，其他平台谨慎使用！

因为现网系统，升级可不是小事，并且现网的平台都是通过4A系统访问管理，4A平台连接主机只有SSH方式，一旦升级有问题，就再也无法连接主机了，必须去机房！所以必须先弄一个备份连接，那就只能先把Telnet弄起来吧。

具体如何弄Telnet，我就不想多说了，本文并不是Telnet的安装操作手册，并且还有可能涉及到主机防火墙的配置，所以如何起动Telnet，并且测试能够通过4A平台访问，这是自己的事情，也许还有可能你们的4A平台不支持Telnet，但支持其他方式（虽然这种情况很少见，不支持Telnet的4A平台我还没见过），你就需要使用其他方式来建一个备份连接方式，防止SSH升级有问题，无法再连接主机。

我的步骤是考虑到现网系统的特殊性的，并不是自己在家玩，自己在家玩，怎么玩都行！

但现网系统可不能乱玩。 一、

在家里用一台测试机升级，试验。

a) 从现网备份SSH的相关系统配置，拿回来备用，主要是以下几个：

i. /etc/ssh下面的ssh_config,sshd_config 文件 ii. /etc/pam.d下面的sshd ssh-keycat iii. /etc/sysconfig下面的sshd b) 先删除旧版本，以免出现安装冲突

#rpm -qa|grep openssh

一般是有四个，然后一个个删除

c)

d)

e) f) g)

#rpm -e openssh --nodeps

#rpm -e openssh-server --nodeps #rpm -e openssh-clients --nodeps #rpm -e openssh-askpass –nodeps 安装新版本

#rpm -ivh openssh-6.6p1-1.x86_64.rpm

#rpm -ivh openssh-clients-6.6p1-1.x86_64.rpm #rpm -ivh openssh-server-6.6p1-1.x86_64.rpm

那个openssh-askpass，是用于图形界面下输入口令的，现网一般用不着，可装可不装。

从本机上找到第1步从现网备份的那几个文件，与备份的文件比较，找出现网修改的地方，主要是关注现网取消掉注释的语句，与本机的文件比较差异。然后修改本机上的文件，与现网配置匹配。

所有配置文件修改完成后，重启SSH服务，并检查启动结果是否正常 #service sshd restart

找另一台机器，使用SSH登录已升级的主机，看是否能够正常使用，一般情况下是没有问题的，有问题就要想办法解决，这主要可能都是配置引起的。 如果登录验证没问题，再输入ssh –V，检查版本号是否已经变成6.6。

如果以上测试没问题，下一步就是去现网操作了。

二、 现网操作

a) 使用Telnet登录到主机操作，不能用SSH了，因为要升级SSH。

b) 登录现网主机后，按家里测试机上的步骤进行升级，因为现网系统的SSH配置基

本都是相同的，所以之前已经做过备份，并且对比分析过配置数据，还生成了新的现网配置文件，所以现在就是把这些已经验证通过的新配置文件上传到主机一个特定目录，最好和安装包放一起吧，好找。

c) 现网系统升级后，使用4A平台通过SSH来登录进行验证，如果登录成功，恭喜，

你已经过关了。

d) 如果有问题，那就比较复杂了，不过基本都是配置问题，再比对现网备份的配置找

问题吧。 友情提供一下Telnet的方法吧：

打开telnet服务

//修改设置文件/etc/xinetd.d/telnet中disable字段改为no。 修改/etc/xinetd.d/krb5-telnet 中disable字段改为no。 启动服务 #service xinetd restart。 临时修改文件

因为不能直接root telnet登陆，所以需要修改一下文件，请将/etc/securetty文件改名保存，等我们确认升级完成SSH，停止Telnet的时候，再改回来。记住一定要改回来，不然又是一个大漏洞，通不过安全扫描的。执行mv /etc/securetty /etc/securetty.bak命令即可，这样就可以使用root 用户登录来完成升级操作。 关闭telnet服务

修改设置文件/etc/xinetd.d/telnet中disable字段改为yes。 启动服务 #service xinetd restart。

改回文件：mv /etc/securetty.bak /etc/securetty

这里，提供我自己制作的RPM包，相信大家看到这才松口气吧，说了半天，其实这才是重点，安装方案老手早就知道了。

http://yun.http://www.35331.cn//s/1o6wObXK

百度网盘分享！里面有OpenSSH相关的内容，有需要的就下载吧。

---------------------------------------------------------------------------------------------------------- 附录：sshd进程及其相关参数详细说明

sshd服务是OpenSSH的守护进程。此服务附带的工具程序可以取代rlogin和rsh，在两台会话的主机间通过非安全的Internet 建立起安全的加密连接。sshd监听来自客户端的连接请求，并在接收到请求时fork一个子进程；此子进程将负责处理密钥交换、加密、认证、命令执行及数据传输等。可以使用命令行选项或者配置文件来配置启动sshd，但命令行中指定的选项将优先于配置文件中的相同选项。 -4 强制sshd仅接收来自IPv4格式地址的请求； -6 强制sshd仅接收来自IPv6格式地址的请求； -b 指定ssh v1中服务器密钥的长度位数；

-D 此选项只是用来监视sshd的启动状态，在附加此选项时，sshd不会作为一个守护进程启动；