阿里云 Alibaba Cloud Linux 3.2104 LTS 64位 升级 OpenSSH_9.9p2
nbstudy 发表于 2025-11-07 16:04:09
因等保需要,监测到CVE-2023-38408、CVE-2020-15778、CVE-2023-51767等漏洞,因阿里云官方源最高只要OpenSSH_8.3。
需要手动编译升级 OpenSSH_9.9p2,记录一下
🔍 步骤 1:确认当前 OpenSSH 版本
bash
ssh -V
# 示例输出:OpenSSH_9.3p2, OpenSSL 1.1.1f 31 Mar 2020如果版本 ≤ 9.9p1,您需要升级。
🛠️ 步骤 2:安装依赖
bash
# 安装编译工具和依赖
sudo yum install -y gcc make zlib-devel openssl-devel🔗 步骤 3:下载并编译 OpenSSH 9.9p2
bash
# 创建临时目录并下载源码
cd /usr/local/src
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p2.tar.gz
tar -xzf openssh-9.9p2.tar.gz
cd openssh-9.9p2
# 配置编译选项
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/include/openssl
# 编译
make
# 备份当前 SSH 配置和二进制文件(重要!)
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sudo cp /usr/sbin/sshd /usr/sbin/sshd.bak
sudo cp /usr/bin/ssh /usr/bin/ssh.bak
# 安装新版本
sudo make install📌 步骤 4:配置和启动新版本
bash
# 检查安装是否成功
ssh -V
# 应显示:OpenSSH_9.9p2
# 重启 SSH 服务
sudo systemctl restart sshd✅ 步骤 5:验证升级
bash
# 验证 OpenSSH 版本
ssh -V
# 验证 CVE-2023-51767 修复
ssh -V 2>&1 | grep -i "CVE-2023-51767"
# 如果显示修复信息,表示已修复🛡️ 步骤 6:安全加固(可选但推荐)
bash
# 限制 SSH 访问(仅允许特定 IP)
sudo sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i 's/^#AllowUsers.*/AllowUsers your_username/' /etc/ssh/sshd_config
# 重启 SSH 服务
sudo systemctl restart sshd⚠️ 重要注意事项
-
不要关闭当前 SSH 会话:在执行升级步骤时,保持至少一个 SSH 会话连接,以防升级失败导致无法连接。
-
备份至关重要:在升级前备份了当前配置和二进制文件,如果升级失败可以快速恢复。
-
阿里云特定注意事项:
- 阿里云 Alibaba Cloud Linux 3.2104 LTS 通常使用 Systemd 作为初始化系统
- 确保使用
systemctl管理 SSH 服务
-
如果升级失败:可以使用备份恢复:
bashsudo cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config sudo cp /usr/sbin/sshd.bak /usr/sbin/sshd sudo cp /usr/bin/ssh.bak /usr/bin/ssh sudo systemctl restart sshd