1 介绍

openssh 9.4版本已于8月10号发布，安全团队又催着要赶紧升级环境里的ssh版本，本文主要介绍Centos5、Centos6、Centos7下openssh 9.4源码编译rpm包以及批量升级服务器openssh版本的方法。关注公众号后台回复ssh可获取本文相关源码文件。

https://www.openssh.com/releasenotes.html

2 将源码编译为rpm包

2.1 编译脚本介绍

由于openssh官方只提供源码包，网上下载的rpm包有可能遇到各种依赖问题，因此我们选择自己将源码编译为rpm包来升级环境的openssh。当然编译过程也尽量简单化，这里我们直接使用开源的脚本进行编译。

https://github.com/boypt/openssh-rpms

编译需要涉及到很多开发软件的下载安装，建议使用一台虚拟机来进行操作。先下载编译脚本，解压

[root@etcd-1 ~]# wget https://github.com/boypt/openssh-rpms/archive/refs/heads/main.zip
[root@etcd-1 ~]# unzip main.zip
[root@etcd-1 ~]# cd openssh-rpms-main/

简单看下代码结构

• compile.sh：编译脚本

• el5、el6、el7：对应CentOS5、6、7三个系统，编译相关的参数由SPECS目录下的openssh.spec控制。编译好的rpm包放在RPMS目录下。

• pullsrc.sh：openssh相关源码下载脚本

• version.env：定义了openssh及openssl源码的版本信息

2.2 修改代码

先修改一下pullsrc.sh脚本，给wget添加上"--no-check-certificate"参数，否则可能因为证书问题导致源码下载失败。

另外默认openssh源码中是没有ssh-copy-id相关参数的，如果直接编译安装，会发现安装后没有ssh-copy-id命令，因此如果需要用到该命令，需要修改编译参数控制文件openssh.spec。本次要升级的环境为CentOS7，因此我只修改el7目录下的SPECS/openssh.speec文件，在如下位置添加一行。

install -m755 contrib/ssh-copy-id $RPM_BUILD_ROOT/usr/bin/ssh-copy-id

继续修改el7目录下的SPECS/openssh.speec文件，在如下位置添加一行。

%attr(0755,root,root) %{_bindir}/ssh-copy-id

2.3 准备编译环境

[root@etcd-1 openssh-rpms-main]# yum groupinstall -y "Development Tools"
[root@etcd-1 openssh-rpms-main]# yum install -y imake rpm-build pam-devel krb5-devel zlib-devel libXt-devel libX11-devel gtk2-devel

2.4 拉取源码并编译打包

[root@etcd-1 openssh-rpms-main]# bash pullsrc.sh ##拉去源码包

执行完成后检查下download目录，相关的源码包是否已下载好，服务器没有网络，可以从下面的链接直接下载好传到download目录下。

https://www.openssl.org/source//openssl-1.1.1v.tar.gz

https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.4p1.tar.gz

执行源码打包脚本

[root@etcd-1 openssh-rpms-main]# bash compile.sh

编译完成检查编译是否成功

检查rpm包是否都以打包好

3 批量升级服务器openssh版本至9.4

3.1 脚本介绍

脚本会用到ansible，因此执行脚本的服务器上需要安装ansible。获取到脚本后，先解压

[root@172-20-17-60 ~]# tar xvf ssh_9.4.tar.gz
[root@172-20-17-60 ~]# cd ssh_9.4

脚本主要文件如下

• hosts: ansible主机清单文件，填写待升级ssh版本的服务器ip及用户名密码

• rpms：存放待升级的openssh相关的rpm包。可以将前面编译好的openssh包放入该路径下

• ssh_update.sh：ssh升级脚本，将会推送到各个服务器

• ssh_update.yaml：升级时ansible使用的playbook

• update_ssh.sh：主脚本，通过该脚本来执行ansible的playbook

3.2 自定待升级服务器信息

node1为主机组，主机组下填写服务器ip，服务器用户名密码相同的，可以填在一起

• ansible_user：填写用户名

• ansible_ssh_pass：填写登录密码

如果用其它用户名或密码不同的服务器，可以填写到主机组node2下，并可新增其它主机组

3.3 执行脚本，开始升级openssh版本

[root@172-20-17-60 ssh_9.4]# bash update_ssh.sh

检查ssh版本是否已升级完成

服务上检查openssh是否成功升级到9.4版本

检查ssh是否能正常登录到服务器