CentOS 7.x 系统 OpenSSH 与 OpenSSL 安全升级操作指南

4. 更换阿里云 yum 源

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo
yum clean all
yum makecache

安装 Telnet（应急通道）

注意：以下操作确认 Telnet 能登录后再继续！确保在 SSH 升级失败时仍可恢复系统。

yum install -y epel-release
yum install -y telnet telnet-server xinetd

配置 xinetd 中的 telnet 服务

cat > /etc/xinetd.d/telnet <<'EOF'
service telnet {
    disable = no
    flags = REUSE
    socket_type = stream
    wait = no
    user = root
    server = /usr/sbin/in.telnetd
    log_on_failure += USERID
}
EOF

启动服务

systemctl enable xinetd
systemctl restart xinetd

开放防火墙

if systemctl is-active --quiet firewalld; then
    firewall-cmd --permanent --add-port=23/tcp
    firewall-cmd --reload
fi

创建临时用户

useradd -m -s /bin/bash opi
echo 'opi:!QAZ@WSX' | chpasswd

配置 sudo

# 允许 sudo（可选）
echo "opi ALL=(ALL:ALL) ALL" > /etc/sudoers.d/opi-perms
chmod 0440 /etc/sudoers.d/opi-perms

升级 OpenSSL

安装编译依赖

yum install -y gcc gcc-c++ make perl perl-devel perl-IPC-Cmd perl-Data-Dumper perl-Time-Piece perl-CPAN zlib-devel perl-Test-Simple

下载源码包

cd /tmp
sudo wget https://github.com/openssl/openssl/releases/download/openssl-3.5.4/openssl-3.5.4.tar.gz
# 内网环境请替换为本地路径
tar -zxvf openssl-3.5.4.tar.gz
cd openssl-3.5.4

编译配置

./Configure --prefix=/usr/local/openssl shared zlib

编译

make -j$(nproc)

安装

make test && make install

创建系统链接

# 备份旧版
mv /usr/bin/openssl /usr/bin/openssl.bak_$(date +%Y%m%d) 2>/dev/null || true

# 创建新链接
ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -sf /usr/local/openssl/include/openssl /usr/include/openssl

# 配置动态库
echo "/usr/local/openssl/lib64" > /etc/ld.so.conf.d/openssl.conf
ldconfig

验证 OpenSSL 版本

openssl version
# 应输出：OpenSSL 3.5.4 ...

升级 OpenSSH

停止 SSH 服务

注意：此步骤请在保证 Telnet 可登录情况下执行（重要）

systemctl stop sshd
pkill sshd

卸载旧版 OpenSSH

rpm -qa | grep openssh
yum remove -y openssh openssh-server openssh-clients
# 强制清除残留（如果还有）
rpm -e --nodeps $(rpm -qa | grep openssh) 2>/dev/null || true

安装编译依赖

yum install -y pcre-devel pam-devel zlib-devel

下载 OpenSSH

cd /tmp
mkdir ssh_install && cd ssh_install
sudo wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-10.2p1.tar.gz
# 内网环境请替换为本地路径
tar -zxf openssh-10.2p1.tar.gz
cd openssh-10.2p1

清理旧版目录

rm -rf /usr/local/openssh/

配置编译

# 关键：指定 OpenSSL 路径
./configure \
  --prefix=/usr/local/openssh \
  --with-ssl-dir=/usr/local/openssl \
  --with-zlib \
  --with-pam \
  --sysconfdir=/etc/ssh

# 出现以下内容表示正常
PAM is enabled. You may need to install a PAM control file for sshd, otherwise password authentication may fail.
Example PAM control files can be found in the contrib/ subdirectory

编译安装

make -j$(nproc)
make install

配置新 SSH 服务

复制二进制文件

cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen

还原配置文件

cp /root/backup_*/ssh/sshd_config /etc/ssh/sshd_config
# 提示是否覆盖时输入 y

启动 SSH 服务

systemctl daemon-reload
systemctl start sshd
systemctl enable sshd

验证版本

ssh -V
# 输出示例：OpenSSH_10.2p1, OpenSSL 3.5.4 30 Sep 2025

验证升级结果

echo "=== OpenSSL 版本 ==="
openssl version
echo "=== OpenSSH 版本 ==="
ssh -V
echo "=== 服务状态 ==="
systemctl is-active sshd
echo "=== 监听端口 ==="
ss -ltn | grep ':22'

清理与收尾

清理软件包

rm -rf /tmp/openssl-3.5.4 /tmp/ssh_install

卸载 Telnet 服务

# 停止 xinetd（Telnet 依赖它运行）
systemctl stop xinetd
# 禁用开机启动
systemctl disable xinetd

# 卸载 Telnet 软件包
yum remove -y telnet-server xinetd telnet

# 删除 Telnet 配置文件
rm -f /etc/xinetd.d/telnet

关闭防火墙 23 端口

if systemctl is-active --quiet firewalld; then
    firewall-cmd --permanent --remove-port=23/tcp
    firewall-cmd --reload
    echo "防火墙已关闭 23 端口"
else
    echo "firewalld 未运行，跳过防火墙配置"
fi

清理临时账号

# 删除用户及其家目录
userdel -r opi
# 删除 sudo 权限文件
rm -f /etc/sudoers.d/opi-perms

检查

echo "=== 检查是否还有 telnet 相关进程 ==="
ps aux | grep -E "(telnet|xinetd)" | grep -v grep || echo "无残留进程"
echo "=== 检查软件包是否卸载 ==="
rpm -q telnet-server xinetd telnet || echo "已全部卸载"
echo "=== 检查用户是否删除 ==="
id opi && echo "用户仍存在！" || echo "用户已删除"
echo "=== 检查 23 端口是否关闭 ==="
ss -ltn | grep ':23' || echo "23 端口已关闭"
echo "=== 检查防火墙规则 ==="
firewall-cmd --list-ports | grep 23 || echo "防火墙无 23 端口规则"

回滚

使用 Telnet + opi 用户登录

# 恢复旧版 OpenSSL
mv /usr/bin/openssl.bak_* /usr/bin/openssl
ldconfig

# 恢复旧版 SSH
cp /root/backup_*/sshd.old /usr/sbin/sshd
cp /root/backup_*/ssh.old /usr/bin/ssh
cp -r /root/backup_*/etc/ssh /etc/ssh
systemctl start sshd

常见问题

缺失 Perl 模块

Can't locate Test/More.pm in @INC (@INC contains: /tmp/openssl-3.5.4/util/perl ...)

这个问题是由于系统缺失 Perl 模块 Test::More（属于 Test-Simple 套件），该模块是 OpenSSL 测试套件必需的依赖项。

解决方法

# RedHat/CentOS 系列
yum install -y perl-Test-Simple
# Debian/Ubuntu 系列
apt-get install -y libtest-simple-perl

安装后重新运行测试：make test

OpenSSL 头文件版本不匹配

在编译 Openssh 时出现 configure: error: OpenSSL version test program failed.

OpenSSL 头文件（opensslv.h）中的版本号与实际的库文件版本（libssl.so）不一致，导致配置脚本检测失败。

编译参数如下：

# 关键：指定 OpenSSL 路径
./configure \
  --prefix=/usr/local/openssh \
  --with-ssl-dir=/usr/local/openssl \
  --with-zlib \
  --with-pam \
  --sysconfdir=/etc/ssh

解决方法

# 检查头文件版本
grep OPENSSL_VERSION_TEXT /usr/local/openssl/include/openssl/opensslv.h
# 检查库文件版本
openssl version

通过验证两个 OpenSSL 版本都是一致的。

# 删除 /usr/local/openssl 目录
mv /usr/local/openssl/ /tmp/openssl.bak
cd openssl-3.5.4/
./Configure --prefix=/usr/local/openssl shared zlib
# 重新编译并安装 OpenSSL
make -j$(nproc)
make install

重新编译 OpenSSH

./configure \
  --prefix=/usr/local/openssh \
  --with-ssl-dir=/usr/local/openssl \
  --with-zlib \
  --with-pam \
  --sysconfdir=/etc/ssh

make -j$(nproc)
make install