一、環(huán)境描述

1）操作系統(tǒng)：CentOS 6.5 64位

2）Openssl升級前版本：openssl 0.9.8e

3）Openssl升級后版本：openssl 1.0.1j（源碼安裝）

4）Openssh升級前版本：openssh-4.3p2-41.el5

5）Openssh升級后版本：openssh_6.7p1（源碼安裝）

6）連接工具SecureCrt

二、安裝Dropbear代替OpenSSH

安裝dropbear只是為了在升級失敗sshd啟動不起來時，依然可以登錄系統(tǒng)。也可以用其他工具代替，比如telnet

1）下載dropbear安裝包

https://matt.ucc.asn.au/dropbear/releases/dropbear-2014.66.tar.bz2

2）檢查安裝依賴包

rpm -qa zlib* gcc make

3）編譯安裝dropbear

# tar jxf dropbear-2014.66.tar.bz2

# cd dropbear-2014.66

# ./configure

# make && make install

檢查生成的文件是否正確：

4）生成證書

# /usr/local/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key  （注：系統(tǒng)默認是沒有/etc/dropbear 目錄的需要自行到創(chuàng)建）

# /usr/local/bin/dropbearkey -t rsa -s 4096 -f /etc/dropbear/dropbear_rsa_host_key

5）啟動dropbear

# /usr/local/sbin/dropbear -p 2222    //監(jiān)聽2222端口

查看是否啟動成功：

# netstat -antup|grep 2222

三、升級OpenSSL到openssl-1.0.1j，并刪除老版本

1）升級前準備

下載openssl-1.0.1j

http://www.openssl.org/source/openssl-1.0.1j.tar.gz

2）刪除舊版本

#rpm -e `rpm -qa | grep openssl` --allmatches --nodeps

3）安裝openssl, 一定記得加上--shared選項, 否則openssh編譯的時候會找不到新安裝的openssl的library, 會報錯: openssl的 header和library版本不匹配

（注：這里L(fēng)Z糾結(jié)了很久，如果按照步驟執(zhí)行./config --PRefix=/usr --shared 依然報錯: openssl的 header和library版本不匹配，很可能是由于之前安裝的Openssl也是源碼安裝的，而且沒有刪除干凈，需要手工搜索ssl相關(guān)的文件

1.執(zhí)行find / -name ssl 

2.將搜索結(jié)果中/usr/lib  /usr/lib64  /lib64  /lib等目錄下的結(jié)果逐一重命名，千萬不要亂刪除，逐一嘗試。這是個笨辦法，目前還沒有發(fā)現(xiàn)啥比較好的辦法。）

# ./config --prefix=/usr --shared 

# make   

# make test

# make install

完畢后查看openssl版本安裝是否正確

# openssl version -a

四、升級sshd到OpenSSH-6.7并刪除老版本ssh

1）升級前準備

查看是否缺包

# rpm -qa|egrep "gcc|make|perl|pam|pam-devel"

如果有配置yum了的話可以直接yum安裝這些包，這樣既可以檢驗是否裝了，沒裝的直接裝上。yum -y install gcc* make perl pam pam-devel

如果不能鏈接外網(wǎng)的話需要去下載rpm安裝包直接用rpm命令安裝。

2）下載openssh-6.7p1.tar.gz

http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.7p1.tar.gz

備份ssh ：

# mv /etc/ssh /etc/ssh.bak

# openssl version -a

3）編譯安裝新版本openssh

# tar zxf openssh-6.7p1.tar.gz && cd openssh-6.7p1 

# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passWords   

# make

先卸載完舊版本的openssh，再make install

# rpm -qa | grep openssh 

# rpm -e `rpm -qa | grep openssh`

Openssh-askpass是用于圖形界面下輸入口令的，用不著可以不裝

# make install

4）查看是否升級到新版本

5）復(fù)制啟動腳本到/etc/init.d

# cp /root/openssh-6.7p1/contrib/RedHat/sshd.init /etc/init.d/sshd

加入開機自啟

# chkconfig --add sshd

6）啟動sshd，用start或reload。不要restart，restart 會直接斷開連接，而并不會接著啟動sshd服務(wù)，這時候要通過其他途徑進入機器，然后啟動sshd服務(wù)才行。

四、刪除dropbear。

終端軟件里再重新打開一個標簽，

在這里Dropbear用來防止升級不成功，用來替代openssh連接服務(wù)器。

在開啟2222端口（dropbear啟動時的端口，可以設(shè)置別的 ）的情況下，連接的方法是：

ssh 192.168.0.1 2222 （192.168.0.1為需要連接的服務(wù)器ip）

刪除dropbear安裝的文件，并殺掉進程

# rm -rf /etc/dropbear/ /usr/local/sbin/dropbear /usr/local/bin/dropbear*