openssh 的升关联新的 openssl 升级异常 升级 openssh 的版本在编译的时候就出现了错误，提示 ssl 的版本不匹配，最低需要 1.1 编译openssl 所以我们安装了一个最新版本的 openssl-1.1.1新版 ./config --prefix=/usr/local/openssl1.1.1 shared zlib make && make install 再次尝试 这次配置的时候关联了 openssl 的目录 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd --with-pam --with-ssl-dir=/usr/local/openssl1.1.1 但是配置仍然报错，内容如下： checking OpenSSL header version... failed 查看了配置参数，只有这一个是指定路径的，所以参数名应该是没有问题的，于是我又更换为了 openssl 解压后的源码目录，但仍然是相同的错误 继续排查 又怀疑是 openssl-1.1.1 版本太低，于是又下载了一个 openssl-3.3.1 使用上面相同的方式测试，但结果仍然是一样的报错 接下来，详细的查看了 openssh 当前目录下的 config.log 日志，发现有如下错误： error while loading shared libraries: libcrypto.so.3 ./conftest: error while loading shared libraries: libcrypto.so.3: cannot open shared object file 应该就是动态库文件没有找到，所以还是把动态库加入到 ldconfig 算了，加入到环境变量中，这样应该就不会找不到了 echo /usr/local/openssl/lib64 >> /etc/ld.so.conf.d/ssl3.conf && ldconfig && ldconfig -pv 果然再次编译没有任何错误 安装完成 还要还原 /etc/pam.d/sshd，第一次从 rpm 源码升级，rpm 卸载会重命名备份这个文件为 sshd.rpmsave 复制启动脚本到 并且设置开机自启 接着为了保证配置跟以前一致，可以还原之前的配置，避免前后端口不一致导致连不上了 再接下来测试配置文件 sshd -t ，保证配置文件测试无误后重启

openssh 的升级 软件下载 官方下载：http://www.openssh.com/portable.html 推荐下载最新版 前置准备 为了防止 ssh 升级失败或中途断开后无法登录，需要做一些前置工作 Centos6.X开启telnet服务 安装telnet服务端以及超级守护进程 yum install telnet-server xinetd openssl-devel pam-devel -y 修改telnet的状态为开启：编辑 `/etc/xinetd.d/telnet` 文件修改disable对应的值为 no 重启xinetd服务： service xinetd restart 操作系统还需要创建一个普通用户来登陆，因为 telnet 默认不允许 root 登陆，且 telnet 传输方式是明文的原因，也不推荐使用 root 登陆，避免额外的安全隐患 Centos7.X开启telnet服务 安装 telnet 服务 yum -y install telnet-server 启动并且设置为自启 systemctl start telnet.socket systemctl start xinetd 安装依赖包： yum install pam-devel zlib-devel gcc -y 编译源码 解压源码后进入到目录中编译，一定要使用 `--with-pam`，否则一些场景下会出现使用问题 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd --with-pam && make 备份原配置文件 cp -a /etc/ssh /opt/ssh 卸载旧版本的ssh rpm -qa | grep openssh | xargs rpm e -nodeps 执行安装 make install 安装完毕检测回显，可能会提示 key 文件权限问题，根据提示的文件设置为 600 即可 检查升级之后的ssh版本 `ssh -V` 拷贝启动脚本作为服务 并 设置自启 cp contrib/redhat/sshd.init /etc/init.d/sshd && chkcoonfig --add sshd;chkconfig sshd on 还原配置文件 `/etc/ssh/sshd_config` ，之前的配置文件可能做了修改，比如端口，加密套件等 还原 `/etc/pam.d/sshd`` `，从 rpm 源码升级，rpm 卸载会重命名备份这个文件为` ``sshd.rpmsave` 没有问题了，先测试配置文件再重启 ssh 服务 sshd -t && service sshd restart 重启无异常且测试远程登录后，关闭 telnet服务

ssh登录的限制 本文主要讲解 openssh 针对用户、主机的登录限制配置 0x1 方式 目前可以选择的方式有几种： 网络级别上的，直接在防火墙对源ip进行限制 操作系统hosts.allow,hosts.deny上进行限制和开放 sshd_config上限制和开放 0x2 区别 防火墙和hosts.allow,hosts.deny都是针对于源ip进行限制的，这里就不多说了。主要看看sshd本身如何进行限制： # 修改sshd_config后都需要重启才能生效 # 主要参数有几个DenyUsers，AllowUsers，用户名，主机名 # 示例一：禁止test用户 DenyUsers test # 示例二：禁止test和test111用户，可以看到是以空格作为分隔符 DenyUsers test test111 # 示例三：只允许192.168.1.1登录test AllowUsers test@192.168.1.1 # 示例四：只允许root和192.168.1.1登录test AllowUsers root test@192.168.1.1 实际测试优先级很严格，不能灵活使用，貌似denyusers中优先级更高，如果denyusers包含了allowusers，那么会禁止登录，所以想跟防火墙一样先禁止全部再开放某些用户应该是不行的。