最近公司安全部门进行漏洞扫描,提示我名下服务器存在两个安全漏洞:OpenSSH安全漏洞(CVE-2025-26465 )及OpenSSH资源管理错误漏洞(CVE-2025-26466 ),要求将OpenSSH升级到OpenSSH_9.9p1或以上版本。目前OpenSSH最新版本是OpenSSH_9.9p2,所以这次升级我们也安装OpenSSH_9.9p2版本。
本文主要记录一下本次升级的过程,方便后续查阅。
查看已安装版本
在终端输入ssh -V,查看已安装的版本信息
可以看到目前我安装的版本是OpenSSH_7.4p1
下载OpenSSH
创建目录,存放安装包
mkdir /root/openssh进入我们刚才创建的目录
cd /root/openssh官网下载速度比较慢,我们可以使用阿里云镜像站下载,输入下面命令,下载
wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.9p2.tar.gz安装OpenSSH
解压我们下载的压缩文件并进入解压后的文件夹内
tar -xzf openssh-9.9p2.tar.gz
cd openssh-9.9p2依次执行下面命令进行编译安装
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-privsep-path=/var/lib/sshd
make && sudo make install验证
再次输入ssh -V,如果显示的是OpenSSH_9.9p2, OpenSSL 1.1.1 11 Sep 2018代表我们安装成功。
遇到的问题
OpenSSL版本过低
编译安装的时候,提示下面的报错
checking OpenSSL library version... configure: error: OpenSSL >= 1.1.1 required (have "100020bf (OpenSSL 1.0.2k-fips 26 Jan 2017)")这个是因为OpenSSH要求OpenSSL最低版本为1.1.1,我们需要升级OpenSSL版本。
依次执行下面的命令,安装开发工具,确保你有开发工具集和依赖项
sudo yum groupinstall -y "Development Tools"
sudo yum install openssl-devel zlib-devel readline-devel
sudo yum install -y wget
sudo yum -y install gcc*卸载老版本的OpenSSL
yum remove openssl安装OpenSSL的1.1.1版本
github间歇性抽风,如果下载失败,可以尝试多次执行wget命令。
wget https://github.com/openssl/openssl/releases/download/OpenSSL_1_1_1/openssl-1.1.1.tar.gz
tar -xzf openssl-1.1.1.tar.gz
cd openssl-1.1.1
./config --prefix=/usr
make && make install
评论 (0)