为什么需要升级openssh呢，因为很多项目进行漏扫结果都会涉及到这个服务器核心组件，一想到以前升级openssh带来的各种依赖性问题就头疼，不管是什么发行版，升级这个东西真的很烦，这次发现可能还会有好一点的通用一点的升级方法，所以有个这个验证记录

制作RPM离线包

你需要升级什么环境的openssh就准备什么环境的镜像包，本地创建虚拟机进行验证和打包

环境准备

• 标准的RockyLinux 8.6
• 虚拟机有外网权限
• 默认的openssh版本：8.0p1
  

制作 rpm 包

1. 准备编译环境基础工具

# 基础包
dnf install wget make gcc perl rpm-build gtk2-devel krb5-devel libXt-devel openssl-devel pam-devel -y

# 基础包
wget http://www.rpmfind.net/linux/centos/8-stream/PowerTools/x86_64/os/Packages/imake-1.0.7-11.el8.x86_64.rpm

# 安装
dnf localinstall imake-1.0.7-11.el8.x86_64.rpm -y

2. 下载源码包

# 创建编译构建目录
mkdir -p /root/rpmbuild/SOURCES

# 下载源码包
cd /root/rpmbuild/SOURCES
wget https://pkgs.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f7eaa8543a2440454637f3c3/x11-ssh-askpass-1.2.4.1.tar.gz
wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.4p1.tar.gz

3. 解压并配置

# 解压
tar -xf openssh-9.4p1.tar.gz

# 拷贝文件
cp openssh-9.4p1/contrib/redhat/openssh.spec ./

# 修改文件内容
sed -i 's/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g' openssh.spec

4. 生成rpm包

# 执行即可
rpmbuild -ba openssh.spec

5. 检查生成的rpm包
   

制作离线依赖包

我把上面的rpm包单独放在一个目录下，最后方便打包

1. 我们上一步已经完成了对openssh9.4p1离线包的制作，如果我们直接进行rpm命令进行安装，可能就会产生依赖问题，比如说：
   
2. 所以我们还需要准备依赖包的离线文件

# 基于上述rpm包下载需要的依赖离线文件放在对应文件
yum install -y --downloadonly --downloaddir=/root/install_pckg_rpm/dpndncy_pckg openssh-9.4p1/*.rpm

3. 这样我们就完成了所有需要的RPM包文件了，就可以进行openssh升级工作了

升级openssh

1. 升级方案步骤

卸载旧版本的openssh
虚拟控制台进行升级，因为没有ssh了
重启服务器验证生效

2. 升级实操

# 卸载旧版本的openssh

# 安装所有的rpm包
rm -rf /etc/ssh

启动和配置

安装成功以后，是不能直接通过ssh去连接的，需要额外配置

1. 配置sshd_config文件

2. 关闭selinux（这个我一般都是关闭了的）
3. 重启后就可以连接了

总结

• 整个安装过程会擦除掉以前所有ssh相关信息和配置，需要注意这一点
• 这可能作为一个通用的升级验证过程，以前总是各种编译安装openssh，各种依赖也不好解决
• 如果没法直接控制台操作服务器，可以安装 telnet 工具，临时采用不安全连接方式进行升级openssh
• 对上述验证过程中升级的各种底层依赖包，不知道是否有风险，所以最好还是在升级之前做好虚拟机快照备份
• 上述生成的rpm包可以打包带走，用在任意一台相同系统的环境下，都可以进行升级操作了