CentOS7.9制作OpenSSH RPM包

在服务器上业务前都要经过漏洞扫描，其中最让人头疼的就是openssh漏洞，几乎每个版本都会扫出安全漏洞。要想处理这些漏洞无一就需要对OpenSSH进行升级操作，说到升级操作我们都会在OpenSSH官网下载源码包进行编译升级，编译过程中又是非常耗时的操作。本编我们通过制作RPM包的方式完成OpenSSH的升级操作

环境介绍

• 系统环境：CentOS 7.9
• OpenSSH: 9.6p1         下载地址：https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.6.tar.gz
• OpenSSL: 1.1.1w　　  下载地址：https://www.openssl.org/source/old/1.1.1/index.html
  
• x11-ssh-askpass  　　下载地址：https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz

注意：9.4及以上版本必须要openssl 1.1.1版本，低于此版本无法完成编译

1、编译openssl

tar xf openssl-1.1.1w.tar.gz 
cd openssl-1.1.1w/
./config --prefix=/usr/local/openssl shared -fPIC
make && make install
ldd /usr/local/openssl/bin/openssl  # 检查函数库
export OPENSSL_ROOT_DIR=/usr/local/openssl
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$OPENSSL_ROOT_DIR/lib
ldconfig -v  # 更新函数库
./apps/openssl version   # 查看新安装的版本

2、制作OpenSSH RPM包

创建目录

tar xf openssh-9.6p1.tar.gz -C /home/
mkdir -p /root/rpmbuild/{SOURCES,SPECS}
cp /root/openssh-9.6p1.tar.gz /root/rpmbuild/SOURCES/
cp /root/x11-ssh-askpass-1.2.4.1.tar.gz /root/rpmbuild/SOURCES/
cp /home/openssh-9.6p1/contrib/redhat/openssh.spec /root/rpmbuild/SPECS/

编辑openssh.spec文件

vim /root/rpmbuild/SPECS/openssh.spec

执行rpmbuild进行制作OpenSSH安装包

yum install rpm-build zlib-devel openssl-devel gcc perl-devel libXt-devel imake gtk2-devel krb5-devel pam-devel # 安装依赖包 
cd /root/rpmbuild/SPECS/
rpmbuild -ba openssh.spec 

 升级OpenSSH

rpm -Uvh openssh-* --nodeps --force

chmod 600 /etc/ssh/ssh_host_*
sed -i -r '/^#PermitRootLogin/a \PermitRootLogin yes' /etc/ssh/sshd_config
sed -i -e "s/#UseDNS no/UseDNS no/g" /etc/ssh/sshd_config
sed -i '/^#HostKey/s/#//g' /etc/ssh/sshd_config
/bin/systemctl restart sshd