CentOS 7紧急升级OpenSSH至9.6p1防范安全漏洞

本文档主要介绍了在CentOS 7系统上升级OpenSSH版本至9.6p1的过程，以应对安全研究人员发现的安全漏洞（CVE-2023-48795、CVE-2023-46445和CVE-2023-46446），这些漏洞可能会影响低于9.6P1版本的SSH服务。由于这些漏洞的存在，及时升级到最新版本变得至关重要，以增强系统的安全性。 首先，文章指导用户通过`yum`包管理器卸载旧版的OpenSSH (`yum remove openssh`)，然后重新安装必要的组件，包括服务器、客户端和服务（`yum install openssh-server openssh-clients`）。接着，重启`sshd`服务以确保配置更新生效（`systemctl restart sshd`）。 为了支持OpenSSH的安装，文档还建议安装一些依赖包，如GCC、C++、Glib、CMake、Autoconf、OpenSSL开发工具、PAM、PAM-Zlib、Vim等，这有助于构建和配置新版本的OpenSSH。安装过程涉及到使用`yum install`命令安装所有必需的开发工具。 接下来，文章详细描述了如何手动编译安装OpenSSL 1.1.1w版本，因为CentOS 7默认使用的OpenSSL版本可能不足以支持新版本的OpenSSH。这包括下载、解压、配置、编译和安装步骤，以及替换系统中的旧版本OpenSSL，确保新的OpenSSL库被正确链接和加载。 值得注意的是，文章还提到在替换系统OpenSSL时，会将旧版本备份并清除旧的路径，然后创建软链接指向新安装的目录，确保系统中的链接指向正确的版本。最后，通过运行`openssl version`来验证新安装的OpenSSL版本是否正确。 本篇文档提供了一个全面的指南，帮助CentOS 7用户升级OpenSSH到9.6p1版本，不仅修复了安全漏洞，还考虑到了依赖包的安装和系统环境的配置，适用于其他基于RPM或DEB包管理系统的Linux发行版，如AlmaLinux、RockyLinux、Debian和Ubuntu等。对于国内操作系统如统信UOS、OpenEuler、麒麟和龙溪，同样适用，只要遵循相似的包管理和编译流程即可。