2、OpenSSH升级方案t.doc

北京天翼安全加固 OpenSSH升级方案亚信科技（中国）有限公司2014/8/20文档信息项目名称 北京天翼综合客户服务平台项目编号文档名称综合客户服务平台OpenSSH升级方案存储位置版本作者/修改者日期描述V1.0赵序2014-08-18创建文档V1.1刘长东2014-11-24补充文档1 OpenSSH升级准备1.1 升级思路考虑到OpenSSH升级采用远程连接方式升级，为保证升级正常，将采telnet连接来进行升级操作，依次进行OpenSSH原配置文件备份、旧版本OpenSSH删除、安装新版本OpenSSH。1.2 升级所需要的安装包不同的环境需要不同的安装包，此次安装需要安装包如下telnet服务所需的安装包：telnet-server-0.17-39.el5.x86_64.rpmOpenSSH 升级所需安装包：openssh-6.5p1.tar.gz zlib-1.2.8.tar.gzopenssl-1.0.1h.tar.gzOpenSSH 还原所需安装包：openssh-4.3p2-72.el5.x86_64.rpm1.3 升级流程1、 上传安装包到服务器上2、 安装telnet服务，并使其运行正常；3、 使用telnet远程连接服务器，正常后端口SSH连接；4、 备份OpenSSH配置文件5、 卸载OpenSSH 4.3版本6、 安装OpenSSH 6.5 版本，并测试正常7、 卸载telnet服务，删除安装包及备份文件2 升级实施步骤2.1 升级主要步骤和时间序号周期（分钟）操作内容实施负责人确认人（当场确认填写）升级前60分钟，实施人员到位，开始升级前准备工作115上传安装包刘江明210安装配置telnet刘江明315备份OpenSSH的配置文件刘江明410删除OpenSSH刘江明520安装OpenSSH刘江明610OpenSSH服务管理刘江明710OpenSSH版本验证刘江明85停止telnet服务刘江明2.2 上传安装包通过sftp上传安装包rpmopenssh-6.5p1.tar.gz zlib-1.2.8.tar.gzopenssl-1.0.1h.tar.gztelnet-server-0.17-39.el5.x86_64.rpmopenssh-4.3p2-72.el5.x86_64.rpm2.3 安装配置telnet2.3.1 安装telnet-server的RPM包确认telnet是否安装，telnet rpm已经安装此步骤跳过# rpm -ivh telnet-server-0.17-39.el5.i386.rpm# rpm -ql telnet-server2.3.2 配置telnettelnet的配置较较简单，直接修改其配置文件，让其启动即可，其配置文件位于/etc/xinetd.d/telnet，修改其内容如下：# vim /etc/xinetd.d/telnet disable = no或采用命令修改方式，执行命令#chkconfig telnet on #chkconfig -list |grep telnet 2.3.3 启动telnet telnet是一个属于xinetd的服务，重启xinetd服务即可完成对telnet的启动。# service xinetd restart并使用非root账户登录测试2.4 备份OpenSSH的配置文件备份OpenSSH相关文件：# cp -r /etc/ssh/ /etc/ssh_bak# cp /etc/init.d/sshd /etc/init.d/sshd_bak# cp /usr/sbin/sshd /usr/sbin/sshd_bak 2.5 删除OpenSSH完成配置备份后，将原有的OpenSSH的rpm包删除，执行命令1、 确认OpenSSH需删除的RPM包 # rpm -qa |grep ssh2、 使用rpm的方式删除：# rpm -e openssh openssh-clients openssh-server openssh-askpass -nodeps2.6 安装OpenSSH安装OpenSSH需先安装其所依赖的zlib和OpenSSL服务。2.6.1 源码编译zlib# tar -xvzf zlib-1.2.8.tar.gz # cd zlib-1.2.8 # ./configure -prefix=/usr/local/zlib # make# make install2.6.2 源码编译OpenSSL# tar -xvzf openssl-1.0.1h.tar.gz# cd openssl-1.0.1h# ./config -prefix=/usr/local/openssl# make# make install2.6.3 源码编译OpenSSH# tar -xvzf openssh-6.5p1.tar.gz# cd openssh-6.5p1# ./configure -sysconfdir=/etc/ssh -with-zlib=/usr/local/zlib/ -with-ssl-dir=/usr/local/openssl#make #make install2.7 OpenSSH服务管理2.7.1 启动OpenSSH使用/usr/local/sbin/sshd命令启动SSH服务，可以使用-d参数调试SSH，使用-f参数指定OpenSSH配置文件的所在路径，如下：# /usr/local/sbin/sshd d确认无误之后，再启动OpenSSH服务：# /usr/local/sbin/sshd -f /etc/ssh/sshd_config2.7.2 开机管理OpenSSH恢复使用service和chkconfig命令对ssh远程连接服务进行管理，到源码包目录下的/contrib/redhat中拷贝sshd.init脚本到/etc/init.d，更名为sshd,最后根据安装路径更正这个sshd配置，如下：# cp openssh-6.4p1/contrib/redhat/sshd.init /etc/init.d/sshd # vi /etc/init.d/sshdSSHD=/usr/local/sbin/sshd /usr/local/bin/ssh-keygen A# chkconfig sshd on# chkconfig -list sshd# service sshd restart2.7.3 重启主机#reboot2.8 OpenSSH版本验证# /usr/local/bin/ssh -V2.9 停止telnet服务确保OpenSSH升级可用之后，为了保障系统的安全，建议将telnet删除，以免造成安全漏洞，删除telnet只需要将其对应的rpm包删除即可，如下：# service xinetd stop3 失败回退3.1 备份目录回退# service sshd stop# cd /etc# rm -rf ssh# cp -r/etc/ssh_bak/etc/ssh/# cd /etc/init.d # rm sshd# cp /etc/init.d/sshd_bak /etc/init.d/sshd# cd /usr/sbin/# rm sshd# cp /usr/s