CentOS 7升级OpenSSH修复漏洞教程

本文详细介绍了在CentOS 7系统中升级OpenSSH以修复CVE-2020-15778、CVE-2021-41617等高危安全漏洞的五种实战方案——从最简便的YUM在线升级，到可控性更强的RPM离线安装，再到高度定制化的源码编译与OpenSSL底层协同升级，每一步都兼顾安全性、兼容性与生产环境稳定性；尤为关键的是，全文始终强调“紧急回退机制”为不可省略的前提，确保升级失败时能快速恢复SSH访问，避免服务器失联风险——无论你是运维新手还是资深工程师，都能从中找到适配自身环境的安全加固路径。

如果您正在运行CentOS 7系统，发现OpenSSH版本长期停留在7.4p1或7.9p1等老旧版本，则极可能暴露于多个已公开的高危CVE漏洞中，例如CVE-2020-15778（scp命令绕过限制）、CVE-2021-41617（与OpenSSL交互引发的内存读取异常）等。以下是修复此类安全漏洞的多种可行方法：

一、使用YUM在线升级（适用于官方源已提供更新包的场景）

该方法依赖CentOS官方或EPEL仓库中是否存在适配当前系统的较新OpenSSH RPM包。其优势在于操作简洁、依赖自动处理、服务无缝重启，风险最低。

1、执行系统基础更新，确保yum元数据最新：
sudo yum clean all && sudo yum makecache

2、检查当前OpenSSH安装状态：
rpm -qa | grep openssh

3、执行OpenSSH组件定向升级：
sudo yum update -y openssh openssh-clients openssh-server openssh-askpass

4、验证升级结果：
ssh -V && /usr/sbin/sshd -V

5、重启SSH服务并确认端口监听正常：
sudo systemctl restart sshd && sudo ss -tlnp | grep :22

二、RPM包离线升级（推荐用于生产环境可控部署）

该方法通过预编译完成的RPM包进行安装，避免现场编译带来的环境差异与失败风险，同时可完整保留systemd服务单元和SELinux上下文，适合对稳定性要求高的场景。

1、在相同架构的构建机上下载或生成适配CentOS 7的OpenSSH RPM包（如OpenSSH_9.3p2-el7.x86_64.rpm），确保其依赖OpenSSL ≥1.1.1u且已签名验证

2、将RPM包上传至目标服务器的/tmp目录

3、强制升级并忽略依赖冲突（仅当确认底层OpenSSL已满足要求时使用）：
sudo rpm -Uvh --force --nodeps /tmp/openssh-*.rpm

4、备份原始配置并校验sshd_config语法：
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sudo sshd -t

5、重载systemd配置并重启服务：
sudo systemctl daemon-reload && sudo systemctl restart sshd

三、源码编译安装（适用于需精确控制版本或修复特定补丁的深度运维场景）

该方式绕过系统包管理器，将OpenSSH安装至独立路径（如/usr/local/openssh），可彻底规避与系统默认版本的冲突，但需手动维护服务启动、PATH路径及日志集成。

1、安装编译依赖：
sudo yum groupinstall -y "Development Tools"
sudo yum install -y zlib-devel openssl-devel pam-devel systemd-devel

2、下载OpenSSH源码包（以9.3p2为例）及对应OpenSSL 1.1.1u源码：
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz
wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz

3、解压并依次编译安装OpenSSL（指定prefix为/usr/local/ssl）与OpenSSH（指定--with-ssl-dir=/usr/local/ssl）

4、创建systemd服务文件/usr/lib/systemd/system/sshd-custom.service，ExecStart指向/usr/local/openssh/sbin/sshd

5、启用新服务并禁用原sshd：
sudo systemctl disable sshd
sudo systemctl enable sshd-custom
sudo systemctl start sshd-custom

四、混合策略：先升级OpenSSL再编译OpenSSH（解决低版本库兼容性问题）

CentOS 7默认OpenSSL 1.0.2k不支持OpenSSH 9.x所需的部分API，直接编译会报错。此方案通过安全方式替换OpenSSL运行时库，为新版OpenSSH提供底层支撑，同时保留原有libssl.so.10软链接以维持系统命令可用性。

1、下载openssl-1.1.1u源码并编译安装至/usr/local/ssl，执行make install

2、创建兼容性软链接：
sudo ln -sf /usr/local/ssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.10
sudo ln -sf /usr/local/ssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.10

3、更新动态库缓存：
echo "/usr/local/ssl/lib64" | sudo tee /etc/ld.so.conf.d/openssl-1.1.1u.conf
sudo ldconfig -v

4、验证链接有效性：
ls -l /usr/lib64/libssl.so.10 /usr/lib64/libcrypto.so.10
sudo ldd /usr/local/openssh/sbin/sshd | grep ssl

5、继续执行第三种方法中的OpenSSH编译与部署步骤

五、紧急回退机制（所有升级操作前必须完成）

任何OpenSSH升级均存在导致SSH连接中断的风险。必须提前建立至少一种备用访问通道，并固化回退路径，否则可能造成服务器失联。

1、在执行升级前，通过云平台VNC控制台或物理终端确认可登录

2、备份全部SSH相关文件：
sudo cp -r /etc/ssh /etc/ssh.pre-upgrade
sudo cp /usr/sbin/sshd /usr/sbin/sshd.pre-upgrade
sudo cp /usr/bin/ssh /usr/bin/ssh.pre-upgrade

3、记录当前systemd服务状态：
sudo systemctl status sshd --no-pager > /root/sshd-status-pre-upgrade.log

4、设置超时自动回滚脚本（示例）：
echo 'sleep 300; systemctl start sshd' | at now + 5 minutes

5、若升级后无法SSH登录，立即通过VNC执行：
sudo mv /usr/sbin/sshd.pre-upgrade /usr/sbin/sshd
sudo systemctl start sshd

今天关于《CentOS 7升级OpenSSH修复漏洞教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！