CentOS SSH版本升级与注意事项 - 问答

CentOS 上升级 OpenSSH 的版本选择与总体策略

优先通过系统软件源进行小版本升级（如 yum/dnf update openssh），风险最低、可回滚方便。仅在确有安全合规需求（如修复特定 CVE）或需要新特性时，才考虑跨小版本升级或编译安装新版本。
跨版本升级（尤其是源码编译）会改变二进制与配置路径，需提前评估对现有运维体系、堡垒机、自动化脚本的影响。
升级前务必在测试环境验证，并准备回滚方案与应急访问通道（如临时开启 Telnet）。

升级前准备与风险控制

保留至少一个已登录的 SSH 会话，全程不关闭，以便配置异常时回滚；新开一个窗口进行验证连接。
完整备份关键项：
- 配置与密钥：/etc/ssh/（建议整体备份）、必要时备份 /etc/pam.d/sshd 与 /etc/pam.d/system-auth*；主机密钥 /etc/ssh/ssh_host_*。
- 系统快照或整机备份（云上可用快照/镜像）。
应急访问通道：临时启用 Telnet（或云厂商 VNC/控制台），并确保 23/TCP 放通；操作完成后及时关闭。
依赖与编译工具：安装 gcc、make、zlib-devel、openssl-devel、pam-devel 等。
安全策略：升级期间可临时将 SELinux 调为 Permissive（如 setenforce 0），并在完成后恢复；或确保策略与 PAM 配置兼容。
客户端兼容性：高版本 OpenSSH 可能禁用低强度算法，旧客户端（如部分旧版 Xshell/SecureCRT）可能无法连接，提前准备新版客户端或调整服务端算法策略。

两种常见升级路径

方式一在线小版本升级（推荐优先）
1. 查看当前版本：ssh -V
2. 更新软件包：yum update openssh-server openssh-clients -y
3. 重启服务：systemctl restart sshd
4. 验证：ssh -V 与 systemctl status sshd，并新开终端测试登录。
  说明：该方式变更范围小，适合日常安全修复；若仓库版本仍偏低，再考虑方式二。
方式二源码编译升级到指定版本（跨小版本或修复高危 CVE）
1. 安装依赖：yum install -y gcc make zlib-devel openssl-devel pam-devel
2. 下载源码（示例为 8.6p1）：
  wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.6p1.tar.gz
3. 备份与解压：
  mv /etc/ssh /etc/ssh_bak && tar xzf openssh-8.6p1.tar.gz && cd openssh-8.6p1
4. 配置编译参数（按需调整路径）：
  ./configure --with-zlib --with-ssl-dir --with-pam --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh
5. 编译安装：make && make install
6. 避免与服务单元冲突（若系统仍指向旧二进制）：
  - 方式 A：使用系统单元并修正路径（推荐）
    - 将新 sshd 链接到系统路径：ln -sf /usr/local/sbin/sshd /usr/sbin/sshd
    - 确保 /usr/lib/systemd/system/sshd.service 中的 ExecStart 指向 /usr/sbin/sshd
    - 执行：systemctl daemon-reload && systemctl restart sshd
  - 方式 B：使用源码提供的 SysV 脚本（CentOS 7 可用）
    - cp contrib/redhat/sshd.init /etc/init.d/sshd
    - cp contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
    - 编辑 /etc/init.d/sshd 将 SSHD=/usr/local/sbin/sshd
    - chmod +x /etc/init.d/sshd && systemctl daemon-reload
    - 如存在旧单元，先 systemctl disable sshd，再用 service sshd restart 启动新服务
7. 验证：ssh -V、sshd -t、systemctl status sshd，并新开终端测试登录。

常见故障与修复要点

启动失败语法校验：执行 sshd -t 定位错误行。常见为 Ciphers/MACs 与系统支持不一致。
- 查看可用算法：ssh -Q cipher、ssh -Q mac
- 在 /etc/ssh/sshd_config 中显式设置兼容算法，例如：
  - Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
  - MACs hmac-sha2-256,hmac-sha2-512,hmac-sha1
新开连接失败但旧会话正常：说明新配置有误，先用旧会话回滚配置或二进制，再逐项修正。
SELinux 拒绝：临时 setenforce 0 验证，或恢复正确的 SELinux 策略/布尔值后再 setenforce 1。
root 登录被拒：检查 /etc/ssh/sshd_config 中 PermitRootLogin 与 PasswordAuthentication 设置，并重启服务后测试。
主机密钥丢失或被覆盖：若发现客户端提示密钥变化，可在备份恢复 /etc/ssh/ssh_host_* 后重启 sshd。

升级后验证与回退方案

版本与服务状态：ssh -V、sshd -t、systemctl status sshd，确认无报错且监听 22/TCP。
连接性测试：从多台客户端（含不同版本）新开连接，验证登录、SFTP/SCP、代理转发、密钥登录等场景。
算法与兼容性：如旧工具无法连接，按需调整服务端的 Ciphers/MACs/KexAlgorithms，或升级客户端。
回退步骤（示例）：
- 停止服务：systemctl stop sshd
- 恢复二进制：将备份的 /usr/sbin/sshd 或单元文件恢复，或使用包管理器重装旧版 yum reinstall openssh-server openssh-clients
- 恢复配置：mv /etc/ssh_bak /etc/ssh
- 重启：systemctl start sshd 并测试
收尾：确认稳定后关闭 Telnet，恢复防火墙策略，清理临时文件。

0 赞

0 踩