博主之前发布了红帽体系的Centos7关于openssl和openssh的升级操作;本文就Ubuntu系统再次分享和交流ssh的升级。如有不正确,欢迎在评论区指出。
之前博主的相关文章:
openssh-浅谈openssl和openssh的升级 - 李宗盛 - 博客园 (cnblogs.com)
openssh-浅谈openssl和openssh的升级_升级openssl需要升级openssh吗_明风个人技术博客的博客-CSDN博客
linux科普:如何标准的安装和升级软件 - 李宗盛 - 博客园 (cnblogs.com)
linux科普:如何标准的安装和升级软件_linux升级软件_明风个人技术博客的博客-CSDN博客
Ubuntu22-安装telnet远程 - 李宗盛 - 博客园 (cnblogs.com)
Ubuntu22-安装telnet远程_ubuntu安装telnet_明风个人技术博客的博客-CSDN博客
一、 前言和环境准备
Ubutu系统是目前主流Linux系统之一,命令跟Debian类似一套体系,版本分为服务器版和桌面版。目前各公司在生产环境多使用服务器版,版本号多使用18\20\22等server版本。本文将会安装3个版本进行实操分享,均升级至ssh新版。
系统 | 版本 | 网络 | 备注 |
Ubuntu-18.04.6-LTS | server | 有互联网 | 虚拟机 |
Ubuntu-20.04.6-LTS | server | 有互联网 | 虚拟机 |
Ubuntu-22.04.1-LTS | server | 有互联网 | 虚拟机 |
二、 标准升级方法
标准升级就是使用系统源自动更新最新版本,首先测试直接使用在线源进行升级
测试时间2023-9
系统 | 升级方法 | 升级前版本 | 升级后版本 |
Ubuntu-18.04.6-LTS | apt在线源更新 | OpenSSL 1.1.1 OpenSSH_7.6p1 | OpenSSL 1.1.1 OpenSSH_7.6p1 |
Ubuntu-20.04.6-LTS | apt在线源更新 | OpenSSL 1.1.1f OpenSSH_8.2p1 | OpenSSL 1.1.1f OpenSSH_8.2p1 |
Ubuntu-22.04.1-LTS | apt在线源更新 | OpenSSL 3.0.2 OpenSSH_8.9p1 | OpenSSL 3.0.2 OpenSSH_8.9p1 |
(三套系统操作命令均一致,升级前后无变化可能是因为更新源的时候自动更新了软件)
#三套系统操作命令均一致#查看当前版本hostnamectl openssl versionssh -Vdpkg -l | grep openssldpkg -l | grep openssh#在线升级apt-get install opensslapt-get install openssh-server openssh-client openssh-sftp-server#离线升级、去网站下载包升级https://packages.ubuntu.com/
三、 手动下载编译包进行升级
压缩包编译安装是linux系统下软件更新的第二种常用方式,软件厂家只需要提供压缩包的源码或者编译程序,适配各系统由用户自行编译,适合于各类系统安装升级
(测试时间2023-9)
1、 ssl版本选择
ssl版本选取两个版本,两个均选择LTS长期稳定版
openssl-1.1.1v.tar.gz:2023-8 发布 用于ubuntu18/20测试
openssl-3.0.10.tar.gz:2023-8 发布 用于ubuntu22测试
/source/index.html
2、 ssh版本选择
ssh版本选择最新版9.4p1
openssl-1.1.1v.tar.gz:2023-8 发布 三套系统均升级ssh最新版
Index of /pub/OpenBSD/OpenSSH/portable/
四、 安装telnet,防止ssh升级错误无法连接远程
telnet安装参考博主之前的文章:
Ubuntu22-安装telnet远程 - 李宗盛 - 博客园 (cnblogs.com)
Ubuntu22-安装telnet远程_ubuntu安装telnet_明风个人技术博客的博客-CSDN博客
五、 先编译更新openssl
openssl和openssh相互依赖,更新ssh需要先更新opnenssl
系统 | 升级方法 | 升级前版本 | 升级后版本 |
Ubuntu-18.04.6-LTS | 编译更新 | OpenSSL 1.1.1 | OpenSSL 1.1.1v |
Ubuntu-20.04.6-LTS | 编译更新 | OpenSSL 1.1.1f | OpenSSL 1.1.1v |
Ubuntu-22.04.1-LTS | 编译更新 | OpenSSL 3.0.2 | OpenSSL 3.0.10 |
1、 Ubuntu18/20更新openssl
Ubuntu18/20系统均是升级opnessl1.1.1的最新版,在操作命令上基本一致
下面以Ubuntu18为演示
a) 检查当前版本和路径
openssl versionwhich openssl
b)安装依赖
#配置源cd /etc/apt/ && cp -a sources.list sources.list.bakksed -i 's/http:\/\/.*.ubuntu.com/https:\/\/mirrors.aliyun.com/g' /etc/apt/sources.listapt-get update #在线安装依赖apt-get install -y gcc build-essential manpages-dev make perl apt-get install -y zlib1g zlib1g-dev apt-get install -y libssl-dev apt-get install -y linux-libc-dev
c) 备份之前的ssl文件
注意:不同版本可能ssl路径不一样,不用在意,主要备份/usr/bin/openssl下即可
#备份以前的文件#在/home下创建opensslbak作为备份文件夹mkdir -p /home/opensslbakcd /home/opensslbakll /usr/bin/opensslll /usr/lib/sslll /etc/sslmv /usr/bin/openssl /home/opensslbak/cp -arp /usr/lib/ssl /home/opensslbak/libsslcp -arp /etc/ssl /home/opensslbak/etcssl
d) 下载openssl升级包和编译
#下载官网安装包-2023-9https://www.openssl.org/source/openssl-1.1.1v.tar.gzwget https://www.openssl.org/source/openssl-1.1.1v.tar.gz --no-check-certificate#解压并编译安装tar -xzvf openssl-1.1.1v.tar.gzcd openssl-1.1.1v/ ./config --shared zlibmake && make install
e) 编译如果报错
#如果遇到报错缺少xxx.h,请重新安装依赖#crypto/comp/c_zlib.c:35:11: fatal error: zlib.h: No such file or directoryapt install --reinstall 软件包名apt-get install --reinstall linux-libc-dev
f) 编译后查看新生成文件夹和测试命令
openssl编译安装后,会需要用到两个文件夹,做程序依赖
● 一个是有很多xxx.h的文件夹,一般升级后默认在【/usr/local/include/openssl】,它对应系统以前的【/usr/include/openssl】
● 另一个是有libssl.so的文件夹,一般升级后默认在【/usr/local/lib】或者【/usr/local/lib64】;它对应系统以前的【/urs/lib】或者【/usr/lib64】
#查看以前系统的ssl依赖文件夹ls /usr/include/opensslls /usr/lib#查看ssl新生成依赖文件夹ls /usr/local/bin/opensslls /usr/local/include/opensslls /usr/local/sslls /usr/local/lib/find / -name 'libssl.so'find / -name 'libcrypto.so'find / -name 'libssl.so.1.1'find / -name 'libcrypto.so.1.1'll /usr/local/lib/libssl.soll /usr/local/lib/libcrypto.soll /usr/local/lib/libssl.so.1.1ll /usr/local/lib/libcrypto.so.1.1#测试新命令可能会报错,稍后更新下库依赖路径ldconfig后就正常了/usr/local/bin/openssl version#root@ubuntu18:/# /usr/local/bin/openssl version#/usr/local/bin/openssl: relocation error: /usr/local/bin/openssl: symbol EVP_mdc2 version OPENSSL_1_1_0 not defined in file libcrypto.so.1.1 with link time reference
g) 重新挂载依赖库和命令文件
#挂载新的文件ln -s /usr/local/bin/openssl /usr/bin/opensslmv /usr/include/openssl /usr/include/openssloldln -s /usr/local/include/openssl /usr/include/opensslln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.soln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.so.1.1ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.soln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.so.1.1#写入新的依赖库路径echo "/usr/local/lib" >> /etc/ld.so.confecho "/usr/lib" >> /etc/ld.so.confldconfigldconfig -v#手动调整成新生成的依赖库路径export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/libecho "export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib" >> ~/.bashrcecho $LD_LIBRARY_PATH#测试是否正常更新bashopenssl versionOpenSSL 1.1.1v 1 Aug 2023
2、 Ubuntu22更新openssl
Ubuntu22系统默认ssl版本为3.0版本,因此更新到最新版本3.0.10版,不更新1.1.1版本
下面以Ubuntu22为演示
a) 检查当前版本和路径
openssl versionwhich openssl
b) 安装依赖
#配置源cd /etc/apt/ && cp -a sources.list sources.list.bakksed -i 's/http:\/\/.*.ubuntu.com/https:\/\/mirrors.aliyun.com/g' /etc/apt/sources.listapt-get update #在线安装依赖apt-get install -y gcc build-essential manpages-dev make perl apt-get install -y zlib1g zlib1g-dev apt-get install -y libssl-dev apt-get install -y linux-libc-dev#libidn11-dev libidn11#libcrypt-dev libcrypt1
c) 备份之前的ssl文件
注意:不同版本可能ssl路径不一样,不用在意,主要备份/usr/bin/openssl下即可
#备份以前的文件#在/home下创建opensslbak作为备份文件夹mkdir -p /home/opensslbakcd /home/opensslbakll /usr/bin/opensslll /usr/lib/sslll /etc/sslmv /usr/bin/openssl /home/opensslbak/cp -arp /usr/lib/ssl /home/opensslbak/libsslcp -arp /etc/ssl /home/opensslbak/etcssl
d) 下载openssl升级包和编译
#下载官网安装包-2023-9https://www.openssl.org/source/openssl-3.0.10.tar.gzwget https://www.openssl.org/source/openssl-3.0.10.tar.gz --no-check-certificate#解压并编译安装tar -xzvf openssl-3.0.10.tar.gzcd openssl-3.0.10/ ./config --shared zlibmake && make install
e) 编译如果报错
#如果遇到报错缺少xxx.h,请重新安装依赖#crypto/comp/c_zlib.c:35:11: fatal error: zlib.h: No such file or directoryapt install --reinstall 软件包名apt-get install --reinstall linux-libc-dev
f) 编译后查看新生成文件夹和测试命令
openssl编译安装后,会需要用到两个文件夹,做程序依赖
● 一个是有很多xxx.h的文件夹,一般升级后默认在【/usr/local/include/openssl】,它对应系统以前的【/usr/include/openssl】
● 另一个是有libssl.so的文件夹,一般升级后默认在【/usr/local/lib】或者【/usr/local/lib64】;它对应系统以前的【/urs/lib】或者【/usr/lib64】
#查看以前系统的ssl依赖文件夹ls /usr/include/opensslls /usr/libls /usr/lib64#查看ssl新生成依赖文件夹find / -name 'libssl.so'find / -name 'libcrypto.so'find / -name 'libssl.so.1.1'find / -name 'libcrypto.so.1.1'ls /usr/local/bin/opensslls /usr/local/include/opensslls /usr/local/sslls /usr/local/lib64ll /usr/local/lib64/libssl.soll /usr/local/lib64/libcrypto.soll /usr/local/lib64/libssl.so.3ll /usr/local/lib64/libcrypto.so.3#测试新命令可能会报错,稍后更新下库依赖路径ldconfig后就正常了/usr/local/bin/openssl version#root@ubuntu18:/# /usr/local/bin/openssl version#/usr/local/bin/openssl: relocation error: /usr/local/bin/openssl: symbol EVP_mdc2 version OPENSSL_1_1_0 not defined in file libcrypto.so.1.1 with link time reference
g) 重新挂载依赖库和命令文件
#挂载新的文件ln -s /usr/local/bin/openssl /usr/bin/opensslmv /usr/include/openssl /usr/include/openssloldln -s /usr/local/include/openssl /usr/include/opensslln -s /usr/local/lib64/libssl.so. /usr/lib/libssl.soln -s /usr/local/lib64/libssl.so.3 /usr/lib/libssl.so.3ln -s /usr/local/lib64/libcrypto.so /usr/lib/libcrypto.soln -s /usr/local/lib64/libcrypto.so.3 /usr/lib/libcrypto.so.3#写入新的依赖库路径echo "/usr/local/lib64" >> /etc/ld.so.confecho "/usr/lib" >> /etc/ld.so.confldconfigldconfig -v#手动调整成新生成的依赖库路径export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib64echo "export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib64" >> ~/.bashrcecho $LD_LIBRARY_PATH#测试是否正常更新bashopenssl versionOpenSSL 3.0.10 1 Aug 2023 (Library: OpenSSL 3.0.10 1 Aug 2023)
六、 编译升级openssh
三套系统openssh安装过程基本一致,命令路径基本无变化
下面以Ubuntu18为演示
1、 Ubuntu18/20/22更新openssh
a) 下载新版和备份老的ssh文件
Index of /pub/OpenBSD/OpenSSH/portable/
cd /home/ wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.4p1.tar.gz --no-check-certificatetar xfz openssh-9.4p1.tar.gzchown -R root:root openssh-9.4p1cd ./openssh-9.4p1#备份ssh文件夹mkdir -pv /home/sshbakcp -arp /etc/ssh/ /home/sshbak/sshcp /etc/ssh/sshd_config /home/sshbak/sshd_config.backupcp /etc/pam.d/sshd /home/sshbak/sshd.pambackupcp /etc/init.d/ssh /home/sshbak/ssh.oldmv /etc/ssh /etc/ssholdbakll /home/sshbak/
b) 安装依赖
apt-get install -y libpam0g-dev
c) 设置编译参数和编译安装,注意要更新openssl后才能生效
注意:Ubuntu18/20路径是--with-ssl-dir=/usr/local/lib,
Ubuntu22路径是--with-ssl-dir=/usr/local/lib64
cd ./openssh-9.4p1./configure --prefix=/usr --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/include/openssl --with-ssl-dir=/usr/local/lib --with-zlib --with-md5-passwords --with-pam --with-privsep-path=/var/lib/sshd#./configure #--prefix=/usr #--sysconfdir=/etc/ssh #编译后ssh路径#--with-openssl-includes=/usr/local/include/openssl #有很多xxx.h的文件目录#--with-ssl-dir=/usr/local/lib64 #有xxx.so的目录#--with-zlib#--with-md5-passwords #--with-pam#--with-privsep-path=/var/lib/sshd make && make install#升级完成ssh -V
d) 修改配置文件/etc/ssh/sshd_config,取消注释以下文件
#根据自己需要调整sshd配置文件,参考如下vim /etc/ssh/sshd_config 32 PermitRootLogin yes #允许root登录,root用户必须添加41 AuthorizedKeysFile .ssh/authorized_keys #指定公钥文件的保存位置以及名称57 PasswordAuthentication yes #允许密码验证82 UsePAM yes #PAM模块98 UseDNS no #关闭dns检测109 Subsystem sftp /usr/libexec/sftp-server #开启SFTP并指定路径
e) 检测文件配置测试
/usr/sbin/sshd -t -f /etc/ssh/sshd_config
f) 添加互信命令文件ssh-copy-id
#mv /usr/bin/ssh-copy-id /home/sshbak/cd /home/openssh-9.4p1install -v -m755 contrib/ssh-copy-id /usr/binll /usr/bin/ssh-copy-id
七、 升级后配置openssh开机自启
开机自启网上有很多配置方法,结合博主实测,建议是自行学习后自定义开机systemd文件
1、 查看原版开机自启服务配置,新建一个服务配置
#原版ssh自启配置cat /lib/systemd/system/ssh.service[Unit]Description=OpenBSD Secure Shell serverDocumentation=man:sshd(8) man:sshd_config(5)After=network.target auditd.serviceConditionPathExists=!/etc/ssh/sshd_not_to_be_run[Service]EnvironmentFile=-/etc/default/sshExecStartPre=/usr/sbin/sshd -tExecStart=/usr/sbin/sshd -D $SSHD_OPTSExecReload=/usr/sbin/sshd -tExecReload=/bin/kill -HUP $MAINPIDKillMode=processRestart=on-failureRestartPreventExitStatus=255Type=notifyRuntimeDirectory=sshdRuntimeDirectoryMode=0755[Install]WantedBy=multi-user.targetAlias=sshd.service
复制原版的配置,新建ssh9的开机自启文件,并修改【Type=simple】
#修改脚本启动类型为simple,防止启动通知服务过程卡死cp /lib/systemd/system/ssh.service /lib/systemd/system/ssh9.servicevim /lib/systemd/system/ssh9.service[Service]#类型修改Type=forking为simple,防止启动通知服务过程卡死Type=simple#Alias=sshd.service#根据需要可以注释别名
2、 连接telnet远程,防止ssh异常故障
上面已经安装了telnet,此时我们连接上telnet远程,暂时不使用ssh远程
3、 修改服务文件,生成systemd托管服务
#停止老的ssh服务systemctl daemon-reloadsystemctl stop sshsystemctl disable sshsystemctl unmask sshsystemctl status ssh#启用新的ssh服务systemctl daemon-reloadsystemctl restart ssh9systemctl status ssh9systemctl enable ssh9#查询配置是否成功systemctl list-unit-files | grep ssh
4、 这个时候已经升级完成,可以连接测试了
5、 补充:自定义ssh的开机自启文件
vim /usr/lib/systemd/system/sshdnew.service[Unit]Description=OpenSSH server daemonDocumentation=man:sshd(8) man:sshd_config(5)After=network.target[Service]Type=simpleExecStart=/usr/sbin/sshd -DKillMode=processRestart=on-failureRestartSec=42s[Install]WantedBy=multi-user.target