为什么需要离线升级 OpenSSH?
许多生产环境服务器出于安全考虑禁止连接外网,但 OpenSSH 漏洞频发,及时升级至关重要。本专题提供完整的离线升级流程,确保系统安全。
准备工作
- 确认当前 OpenSSH 版本:
ssh -V - 下载目标版本的 OpenSSH 源码包(如 openssh-9.8p1.tar.gz)
- 下载依赖库:OpenSSL、zlib(需与目标 OpenSSH 兼容)
- 将所有文件通过 U 盘或内网传输至目标服务器
升级步骤
- 备份配置:复制
/etc/ssh/sshd_config和密钥文件 - 编译安装依赖:先安装 zlib,再安装 OpenSSL(指定 --prefix)
- 编译 OpenSSH:
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/ssl make && sudo make install - 验证并重启服务:检查
/usr/sbin/sshd -t,然后重启 sshd - 测试连接:保留原会话,新开终端测试登录
注意事项
- 务必在测试环境先行验证
- 避免覆盖系统默认路径导致服务异常
- 升级后检查 SELinux/AppArmor 策略是否影响新版本
- 保留旧版本二进制文件以便紧急回滚