Centos6.9中将openssh升级到到7.5

一. 安装编译工具包和telnet服务：

安装telnet服务的目的是防止后期ssh服务连不上，跑机房。

# yum install -y  gcc gcc-c++ perl  zlib-devel pam pam-devel tcp_wrappers-devel
# yum -y install telnet-server* telnet

编辑/etc/xinetd.d/telnet文件，将disalble字段的yes改为no
允许root用户通过telnet登陆。

# mv /etc/securetty /etc/securetty.old
# /etc/init.d/xinetd restart 
# chkconfig xinetd on

最后telnet IP 测试一下，看看可否正常登陆。

二.升级openssl

注意：openssh7.5依赖openssl的版本要大于1.0.1e并且小于1.1.0。
上传 openssl-1.0.2k.tar.gz到服务器下software目录。

# tar zxvf openssl-1.0.2k.tar.gz 
# cd openssl-1.0.2k
# ./config shared zlib
# make && make install

移除原来的openssl

# mv /usr/bin/openssl /usr/bin/openssl.bak
# mv /usr/include/openssl /usr/include/openssl.bak

创建软链接

# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl  
# ln -s /usr/local/ssl/include/openssl /usr/include/openssl

将openssl的lib库添加到系统

# echo "/usr/local/ssl/lib/" >> /etc/ld.so.conf

使新添加的lib 被系统找到

# ldconfig

查看openssl版本

# openssl version 
OpenSSL 1.0.2k  26 Jan 2017

三. 升级Openssh

目前为止openssh的漏洞主要存在于openssh7.4以前的版本，本文使用的是openssh7.5
上传openssh-7.5p1.tar.gz到software目录下。

# tar zxvf openssh-7.5p1.tar.gz 
# cd openssh-7.5p
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --without-openssl-header-check --with-ssl-dir=/usr/local/ssl --with-privsep-path=/var/lib/sshd
# make && make install
# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config #允许SSH的X转发  
# echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config #设置SSH允许root用户登录  
# mv /etc/init.d/sshd /tmp
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd #复制SSH的启动脚本 
# chmod +x /etc/init.d/sshd #添加执行权限  
# chkconfig --add sshd #添加到系统服务  
# chkconfig sshd on #开启sshd的开机运行
# service sshd restart 
# ssh -V #查看版本号

四. 关闭telnet

# chkconfig xinetd off
# service xinetd stop