您现在的位置是:首页 > 名人名句

(重磅发布,一文学会乌班图ssh升级)Ubuntu-openssl和openssh升级

作者:言安琪时间:2024-04-20 14:51:25分类:名人名句

简介  文章浏览阅读3.3k次,点赞5次,收藏9次。Ubutu系统是目前主流Linux系统之一,命令跟Debian类似一套体系,版本分为服务器版和桌面版。目前各公司在生产环境多使用服务器版,版本号多使用18\\20\\22等server版本。本文将会安装3个版本进行实

点击全文阅读

 博主之前发布了红帽体系的Centos7关于openssl和openssh的升级操作;本文就Ubuntu系统再次分享和交流ssh的升级。如有不正确,欢迎在评论区指出。

之前博主的相关文章:

openssh-浅谈openssl和openssh的升级 - 李宗盛 - 博客园 (cnblogs.com)

openssh-浅谈openssl和openssh的升级_升级openssl需要升级openssh吗_明风个人技术博客的博客-CSDN博客

linux科普:如何标准的安装和升级软件 - 李宗盛 - 博客园 (cnblogs.com)

linux科普:如何标准的安装和升级软件_linux升级软件_明风个人技术博客的博客-CSDN博客

Ubuntu22-安装telnet远程 - 李宗盛 - 博客园 (cnblogs.com)

Ubuntu22-安装telnet远程_ubuntu安装telnet_明风个人技术博客的博客-CSDN博客

一、  前言和环境准备

Ubutu系统是目前主流Linux系统之一,命令跟Debian类似一套体系,版本分为服务器版和桌面版。目前各公司在生产环境多使用服务器版,版本号多使用18\20\22等server版本。本文将会安装3个版本进行实操分享,均升级至ssh新版。

系统

版本

网络

备注

Ubuntu-18.04.6-LTS

server

有互联网

虚拟机

Ubuntu-20.04.6-LTS

server

有互联网

虚拟机

Ubuntu-22.04.1-LTS

server

有互联网

虚拟机

二、  标准升级方法

标准升级就是使用系统源自动更新最新版本,首先测试直接使用在线源进行升级

测试时间2023-9

系统

升级方法

升级前版本

升级后版本

Ubuntu-18.04.6-LTS

apt在线源更新

OpenSSL 1.1.1

OpenSSH_7.6p1

OpenSSL 1.1.1

OpenSSH_7.6p1

Ubuntu-20.04.6-LTS

apt在线源更新

OpenSSL 1.1.1f

OpenSSH_8.2p1

OpenSSL 1.1.1f

OpenSSH_8.2p1

Ubuntu-22.04.1-LTS

apt在线源更新

OpenSSL 3.0.2

OpenSSH_8.9p1

OpenSSL 3.0.2

OpenSSH_8.9p1

(三套系统操作命令均一致,升级前后无变化可能是因为更新源的时候自动更新了软件)

#三套系统操作命令均一致#查看当前版本hostnamectl openssl versionssh -Vdpkg -l | grep openssldpkg -l | grep openssh#在线升级apt-get install opensslapt-get install openssh-server openssh-client openssh-sftp-server#离线升级、去网站下载包升级https://packages.ubuntu.com/

三、  手动下载编译包进行升级

压缩包编译安装是linux系统下软件更新的第二种常用方式,软件厂家只需要提供压缩包的源码或者编译程序,适配各系统由用户自行编译,适合于各类系统安装升级

(测试时间2023-9)

1、  ssl版本选择

ssl版本选取两个版本,两个均选择LTS长期稳定版

openssl-1.1.1v.tar.gz:2023-8 发布  用于ubuntu18/20测试

openssl-3.0.10.tar.gz:2023-8 发布  用于ubuntu22测试

/source/index.html

2、  ssh版本选择

ssh版本选择最新版9.4p1

openssl-1.1.1v.tar.gz:2023-8 发布 三套系统均升级ssh最新版

Index of /pub/OpenBSD/OpenSSH/portable/

四、  安装telnet,防止ssh升级错误无法连接远程

telnet安装参考博主之前的文章:

Ubuntu22-安装telnet远程 - 李宗盛 - 博客园 (cnblogs.com)

Ubuntu22-安装telnet远程_ubuntu安装telnet_明风个人技术博客的博客-CSDN博客

五、  先编译更新openssl

openssl和openssh相互依赖,更新ssh需要先更新opnenssl

系统

升级方法

升级前版本

升级后版本

Ubuntu-18.04.6-LTS

编译更新

OpenSSL 1.1.1

OpenSSL 1.1.1v

Ubuntu-20.04.6-LTS

编译更新

OpenSSL 1.1.1f

OpenSSL 1.1.1v

Ubuntu-22.04.1-LTS

编译更新

OpenSSL 3.0.2

OpenSSL 3.0.10

1、  Ubuntu18/20更新openssl

Ubuntu18/20系统均是升级opnessl1.1.1的最新版,在操作命令上基本一致

下面以Ubuntu18为演示

a)  检查当前版本和路径
openssl versionwhich openssl

b)安装依赖  
#配置源cd /etc/apt/ && cp -a sources.list sources.list.bakksed -i 's/http:\/\/.*.ubuntu.com/https:\/\/mirrors.aliyun.com/g' /etc/apt/sources.listapt-get update #在线安装依赖apt-get install -y gcc build-essential manpages-dev make perl apt-get install -y zlib1g zlib1g-dev apt-get install -y libssl-dev apt-get install -y linux-libc-dev
c)  备份之前的ssl文件

注意:不同版本可能ssl路径不一样,不用在意,主要备份/usr/bin/openssl下即可

#备份以前的文件#在/home下创建opensslbak作为备份文件夹mkdir -p /home/opensslbakcd /home/opensslbakll /usr/bin/opensslll /usr/lib/sslll /etc/sslmv /usr/bin/openssl /home/opensslbak/cp -arp /usr/lib/ssl  /home/opensslbak/libsslcp -arp /etc/ssl /home/opensslbak/etcssl

d)  下载openssl升级包和编译
#下载官网安装包-2023-9https://www.openssl.org/source/openssl-1.1.1v.tar.gzwget https://www.openssl.org/source/openssl-1.1.1v.tar.gz --no-check-certificate#解压并编译安装tar -xzvf openssl-1.1.1v.tar.gzcd openssl-1.1.1v/ ./config  --shared zlibmake && make install

e)  编译如果报错
#如果遇到报错缺少xxx.h,请重新安装依赖#crypto/comp/c_zlib.c:35:11: fatal error: zlib.h: No such file or directoryapt install --reinstall 软件包名apt-get install --reinstall  linux-libc-dev

f)  编译后查看新生成文件夹和测试命令

openssl编译安装后,会需要用到两个文件夹,做程序依赖

● 一个是有很多xxx.h的文件夹,一般升级后默认在【/usr/local/include/openssl】,它对应系统以前的【/usr/include/openssl】

● 另一个是有libssl.so的文件夹,一般升级后默认在【/usr/local/lib】或者【/usr/local/lib64】;它对应系统以前的【/urs/lib】或者【/usr/lib64】

#查看以前系统的ssl依赖文件夹ls /usr/include/opensslls /usr/lib#查看ssl新生成依赖文件夹ls /usr/local/bin/opensslls /usr/local/include/opensslls /usr/local/sslls /usr/local/lib/find / -name 'libssl.so'find / -name 'libcrypto.so'find / -name 'libssl.so.1.1'find / -name 'libcrypto.so.1.1'll /usr/local/lib/libssl.soll /usr/local/lib/libcrypto.soll /usr/local/lib/libssl.so.1.1ll /usr/local/lib/libcrypto.so.1.1#测试新命令可能会报错,稍后更新下库依赖路径ldconfig后就正常了/usr/local/bin/openssl version#root@ubuntu18:/# /usr/local/bin/openssl version#/usr/local/bin/openssl: relocation error: /usr/local/bin/openssl: symbol EVP_mdc2 version OPENSSL_1_1_0 not defined in file libcrypto.so.1.1 with link time reference

g)  重新挂载依赖库和命令文件
#挂载新的文件ln -s /usr/local/bin/openssl /usr/bin/opensslmv /usr/include/openssl /usr/include/openssloldln -s /usr/local/include/openssl /usr/include/opensslln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.soln -s /usr/local/lib/libssl.so.1.1  /usr/lib/libssl.so.1.1ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.soln -s /usr/local/lib/libcrypto.so.1.1  /usr/lib/libcrypto.so.1.1#写入新的依赖库路径echo "/usr/local/lib" >> /etc/ld.so.confecho "/usr/lib" >> /etc/ld.so.confldconfigldconfig -v#手动调整成新生成的依赖库路径export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/libecho "export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib" >> ~/.bashrcecho $LD_LIBRARY_PATH#测试是否正常更新bashopenssl versionOpenSSL 1.1.1v  1 Aug 2023

2、  Ubuntu22更新openssl

Ubuntu22系统默认ssl版本为3.0版本,因此更新到最新版本3.0.10版,不更新1.1.1版本

下面以Ubuntu22为演示

a)  检查当前版本和路径
openssl versionwhich openssl

b) 安装依赖  
#配置源cd /etc/apt/ && cp -a sources.list sources.list.bakksed -i 's/http:\/\/.*.ubuntu.com/https:\/\/mirrors.aliyun.com/g' /etc/apt/sources.listapt-get update #在线安装依赖apt-get install -y gcc build-essential manpages-dev make perl apt-get install -y zlib1g zlib1g-dev apt-get install -y libssl-dev apt-get install -y linux-libc-dev#libidn11-dev libidn11#libcrypt-dev libcrypt1 
c)  备份之前的ssl文件

注意:不同版本可能ssl路径不一样,不用在意,主要备份/usr/bin/openssl下即可

#备份以前的文件#在/home下创建opensslbak作为备份文件夹mkdir -p /home/opensslbakcd /home/opensslbakll /usr/bin/opensslll /usr/lib/sslll /etc/sslmv /usr/bin/openssl /home/opensslbak/cp -arp /usr/lib/ssl  /home/opensslbak/libsslcp -arp /etc/ssl /home/opensslbak/etcssl

d)  下载openssl升级包和编译
#下载官网安装包-2023-9https://www.openssl.org/source/openssl-3.0.10.tar.gzwget https://www.openssl.org/source/openssl-3.0.10.tar.gz --no-check-certificate#解压并编译安装tar -xzvf openssl-3.0.10.tar.gzcd openssl-3.0.10/ ./config  --shared zlibmake && make install

e)  编译如果报错
#如果遇到报错缺少xxx.h,请重新安装依赖#crypto/comp/c_zlib.c:35:11: fatal error: zlib.h: No such file or directoryapt install --reinstall 软件包名apt-get install --reinstall  linux-libc-dev

f)  编译后查看新生成文件夹和测试命令

openssl编译安装后,会需要用到两个文件夹,做程序依赖

● 一个是有很多xxx.h的文件夹,一般升级后默认在【/usr/local/include/openssl】,它对应系统以前的【/usr/include/openssl】

● 另一个是有libssl.so的文件夹,一般升级后默认在【/usr/local/lib】或者【/usr/local/lib64】;它对应系统以前的【/urs/lib】或者【/usr/lib64】

#查看以前系统的ssl依赖文件夹ls /usr/include/opensslls /usr/libls /usr/lib64#查看ssl新生成依赖文件夹find / -name 'libssl.so'find / -name 'libcrypto.so'find / -name 'libssl.so.1.1'find / -name 'libcrypto.so.1.1'ls /usr/local/bin/opensslls /usr/local/include/opensslls /usr/local/sslls /usr/local/lib64ll /usr/local/lib64/libssl.soll /usr/local/lib64/libcrypto.soll /usr/local/lib64/libssl.so.3ll /usr/local/lib64/libcrypto.so.3#测试新命令可能会报错,稍后更新下库依赖路径ldconfig后就正常了/usr/local/bin/openssl version#root@ubuntu18:/# /usr/local/bin/openssl version#/usr/local/bin/openssl: relocation error: /usr/local/bin/openssl: symbol EVP_mdc2 version OPENSSL_1_1_0 not defined in file libcrypto.so.1.1 with link time reference

g)  重新挂载依赖库和命令文件
#挂载新的文件ln -s /usr/local/bin/openssl /usr/bin/opensslmv /usr/include/openssl /usr/include/openssloldln -s /usr/local/include/openssl /usr/include/opensslln -s /usr/local/lib64/libssl.so. /usr/lib/libssl.soln -s /usr/local/lib64/libssl.so.3  /usr/lib/libssl.so.3ln -s /usr/local/lib64/libcrypto.so /usr/lib/libcrypto.soln -s /usr/local/lib64/libcrypto.so.3  /usr/lib/libcrypto.so.3#写入新的依赖库路径echo "/usr/local/lib64" >> /etc/ld.so.confecho "/usr/lib" >> /etc/ld.so.confldconfigldconfig -v#手动调整成新生成的依赖库路径export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib64echo "export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib64" >> ~/.bashrcecho $LD_LIBRARY_PATH#测试是否正常更新bashopenssl versionOpenSSL 3.0.10 1 Aug 2023 (Library: OpenSSL 3.0.10 1 Aug 2023)

六、  编译升级openssh

三套系统openssh安装过程基本一致,命令路径基本无变化

下面以Ubuntu18为演示

1、  Ubuntu18/20/22更新openssh

a)  下载新版和备份老的ssh文件

Index of /pub/OpenBSD/OpenSSH/portable/

cd /home/ wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.4p1.tar.gz --no-check-certificatetar xfz openssh-9.4p1.tar.gzchown -R root:root openssh-9.4p1cd ./openssh-9.4p1#备份ssh文件夹mkdir -pv /home/sshbakcp -arp /etc/ssh/ /home/sshbak/sshcp /etc/ssh/sshd_config /home/sshbak/sshd_config.backupcp /etc/pam.d/sshd /home/sshbak/sshd.pambackupcp /etc/init.d/ssh /home/sshbak/ssh.oldmv /etc/ssh /etc/ssholdbakll /home/sshbak/

b)  安装依赖
apt-get install -y libpam0g-dev
c)  设置编译参数和编译安装,注意要更新openssl后才能生效

注意:Ubuntu18/20路径是--with-ssl-dir=/usr/local/lib,

Ubuntu22路径是--with-ssl-dir=/usr/local/lib64

cd ./openssh-9.4p1./configure --prefix=/usr --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/include/openssl --with-ssl-dir=/usr/local/lib --with-zlib --with-md5-passwords --with-pam --with-privsep-path=/var/lib/sshd#./configure #--prefix=/usr #--sysconfdir=/etc/ssh #编译后ssh路径#--with-openssl-includes=/usr/local/include/openssl #有很多xxx.h的文件目录#--with-ssl-dir=/usr/local/lib64 #有xxx.so的目录#--with-zlib#--with-md5-passwords #--with-pam#--with-privsep-path=/var/lib/sshd              make && make install#升级完成ssh -V

d)  修改配置文件/etc/ssh/sshd_config,取消注释以下文件
#根据自己需要调整sshd配置文件,参考如下vim /etc/ssh/sshd_config 32 PermitRootLogin yes                                          #允许root登录,root用户必须添加41 AuthorizedKeysFile      .ssh/authorized_keys    #指定公钥文件的保存位置以及名称57 PasswordAuthentication yes                             #允许密码验证82 UsePAM yes                                                      #PAM模块98 UseDNS no                                                        #关闭dns检测109 Subsystem       sftp    /usr/libexec/sftp-server    #开启SFTP并指定路径
e)  检测文件配置测试

/usr/sbin/sshd -t -f /etc/ssh/sshd_config

f)  添加互信命令文件ssh-copy-id
#mv /usr/bin/ssh-copy-id /home/sshbak/cd /home/openssh-9.4p1install -v -m755 contrib/ssh-copy-id /usr/binll /usr/bin/ssh-copy-id

七、  升级后配置openssh开机自启

开机自启网上有很多配置方法,结合博主实测,建议是自行学习后自定义开机systemd文件

1、  查看原版开机自启服务配置,新建一个服务配置

#原版ssh自启配置cat /lib/systemd/system/ssh.service[Unit]Description=OpenBSD Secure Shell serverDocumentation=man:sshd(8) man:sshd_config(5)After=network.target auditd.serviceConditionPathExists=!/etc/ssh/sshd_not_to_be_run[Service]EnvironmentFile=-/etc/default/sshExecStartPre=/usr/sbin/sshd -tExecStart=/usr/sbin/sshd -D $SSHD_OPTSExecReload=/usr/sbin/sshd -tExecReload=/bin/kill -HUP $MAINPIDKillMode=processRestart=on-failureRestartPreventExitStatus=255Type=notifyRuntimeDirectory=sshdRuntimeDirectoryMode=0755[Install]WantedBy=multi-user.targetAlias=sshd.service

复制原版的配置,新建ssh9的开机自启文件,并修改【Type=simple】

#修改脚本启动类型为simple,防止启动通知服务过程卡死cp /lib/systemd/system/ssh.service /lib/systemd/system/ssh9.servicevim /lib/systemd/system/ssh9.service[Service]#类型修改Type=forking为simple,防止启动通知服务过程卡死Type=simple#Alias=sshd.service#根据需要可以注释别名

2、  连接telnet远程,防止ssh异常故障

上面已经安装了telnet,此时我们连接上telnet远程,暂时不使用ssh远程

3、  修改服务文件,生成systemd托管服务

#停止老的ssh服务systemctl daemon-reloadsystemctl stop sshsystemctl disable sshsystemctl unmask sshsystemctl status ssh#启用新的ssh服务systemctl daemon-reloadsystemctl restart ssh9systemctl status ssh9systemctl enable ssh9#查询配置是否成功systemctl list-unit-files | grep ssh

4、  这个时候已经升级完成,可以连接测试了

5、  补充:自定义ssh的开机自启文件

vim /usr/lib/systemd/system/sshdnew.service[Unit]Description=OpenSSH server daemonDocumentation=man:sshd(8) man:sshd_config(5)After=network.target[Service]Type=simpleExecStart=/usr/sbin/sshd -DKillMode=processRestart=on-failureRestartSec=42s[Install]WantedBy=multi-user.target

点击全文阅读

郑重声明:

本站所有活动均为互联网所得,如有侵权请联系本站删除处理

我来说两句