CentOS7 升级 OpenSSH 8.6p1 操作指南

"该文档是关于在CentOS7系统上升级OpenSSH到8.6p1版本的操作手册，包括备份原有SSH配置、安装OpenSSL补丁、解压并编译安装OpenSSH新版本、卸载旧版本、修改权限、设置启动脚本、启用自启动服务以及调整相关配置文件以允许root远程登录和配置SELinux服务的详细步骤。" 在CentOS7环境中，OpenSSH是用于安全远程连接的重要组件。为了确保系统的安全性，及时更新OpenSSH到最新版本（这里是8.6p1）是必要的，因为新版本通常包含安全修复和性能改进。以下是升级OpenSSH到8.6p1的详细过程： 1. **备份原有SSH配置**： 在升级之前，首先备份现有的SSH配置以防止意外情况。这可以通过执行以下命令完成： ``` cp -r /etc/ssh /etc/ssh.bak`date+%Y%m%d` ``` 这样，如果升级后出现问题，可以快速恢复原来的配置。 2. **安装OpenSSL补丁**： OpenSSH依赖于OpenSSL库，因此在升级前可能需要更新OpenSSL。文件中未明确提及具体补丁，但通常应确保系统上的OpenSSL版本与新OpenSSH版本兼容。 3. **上传并安装OpenSSH8.6p1**： 首先将OpenSSH8.6p1的源码包下载到本地，然后通过FTP或SCP等工具上传到服务器。解压后，使用`rpm -ivh *.rpm --nodeps --force`命令安装，确保在没有依赖冲突的情况下强制安装。 4. **编译并安装OpenSSH8.6p1**： 进入解压后的目录，运行`./configure`进行配置，指定安装路径、配置文件位置、使用的Zlib库、不检查OpenSSL头文件、指定SSL目录以及私钥路径。接着执行`make`编译，最后`make install`进行安装。 5. **卸载旧版本OpenSSH**： 卸载旧版本OpenSSH以避免冲突，可以使用`rpm -e --nodeps `命令，通过`rpm -qa | grep openssh`查找所有相关旧版本并卸载。 6. **修改key文件权限**： 为了安全，确保SSH主机密钥文件权限正确，使用`chmod 600`对`/etc/ssh/ssh_host_rsa_key`, `/etc/ssh/ssh_host_ecdsa_key` 和 `/etc/ssh/ssh_host_ed25519_key` 设置为只读权限。 7. **设置启动脚本和自启动服务**： 复制新版本的`sshd`启动脚本到`/etc/init.d/`目录下，并赋予执行权限。然后使用`chkconfig sshd on`将其添加到开机启动服务列表。 8. **允许root远程登录**： 修改`/etc/ssh/sshd_config`配置文件，将`PermitRootLogin prohibit-password`改为`PermitRootLogin yes`，允许root用户通过SSH远程登录。 9. **配置SELinux服务**： 为了与新版本OpenSSH兼容，可能需要调整SELinux策略。将`/etc/selinux/config`中的`SELINUX=enforcing`和`SELINUX=permissive`改为`SELINUX=disabled`，暂时禁用SELinux以避免冲突。 完成以上步骤后，务必重启`sshd`服务以应用新的配置，并通过`chkconfig --list sshd`检查服务是否已设置为开机启动。同时，建议在生产环境中谨慎进行此类升级，确保测试环境无误后再在生产环境中操作。另外，定期监控系统日志以检查新版本OpenSSH的运行状态和可能的问题。