OpenSSL与OpenSSH需要经常修复漏洞，编译安装步骤供参考,适用ubuntu版本，其他版本类似，若升级主机较多，建议先在测试环境验证，如OpenSSL大版本升级且OpenSSH有新稳定版本，建议升级OpenSSL同时也升级OpenSSH

安装编译依赖包

<code>apt update

apt install gcc make zlib1g-dev libpam0g-dev libkrb5-dev libedit-dev -y

操作系统openssl版本查看：

ubuntu20.04 openssl版本：OpenSSL 1.1.1f

ubuntu22.04 openssl版本：OpenSSL 3.0.2

安装 OpenSSL

首先，使用 wget 命令下载 OpenSSL 的源代码压缩包。从 OpenSSL 官方网站上找到最新版本的源代码。

<code>注意：由于OpenSSL 1.1.x版本已停止维护，ubuntu20.04.x系统建议都使用目前长期支持版

下载 OpenSSL包

<code>wget https://www.openssl.org/source/openssl-3.0.14.tar.gz

如下以ubuntu20.04示例：

解压源代码

使用 tar 命令解压源代码压缩包。

tar -zxf openssl-3.0.14.tar.gz

切换到解压后的源代码目录。

cd openssl-3.0.14/

配置编译选项：

运行以下命令配置编译选项。(是否加shared 、zlib参数都可以进行后面的openssh安装)

将 OpenSSL 安装到 /usr/local/openssl 目录下，并设置 openssldir 为同样的路径。

./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib

编译和安装：

运行 make 命令进行编译，然后使用 make install 命令进行安装。请确保您具有足够的权限来执行此操作, <code>make 可替换为 make -j4 并行处理（其中的数字 4 表示允许并行运行的任务数，按cpu核数适当调整）

make -j4 && make install

备份原来的openssl

<code>mv /usr/bin/openssl /usr/bin/openssl.bak

创建软链接到系统位置

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

将openssl 的lib 库添加到系统(‘/usr/local/openssl/lib64’ 单引号)

#openssl 1.x.x版本是: /usr/local/openssl/lib/ 路径

#echo '/usr/local/openssl/lib' > /etc/ld.so.conf.d/openssl.conf

echo '/usr/local/openssl/lib64' > /etc/ld.so.conf.d/openssl.conf

加载lib库 (可加 -v 参数查看详细显示)

ldconfig

看看openssl版本

openssl version

现在，您已经成功在 Ubuntu 20.04 上编译安装了 OpenSSL。 <code>如果您在安装其他软件时需要使用 OpenSSL，请确保相应的软件能够找到新安装的 OpenSSL 路径。

openssh安装

注意： 操作前需备份好已安全加固的配置文件 （新环境可忽略）

若网络不稳定进行升级，建议临时安装telnetd服务，避免终端中断无法远程操作,由于telnet服务存在不安全因素，升级验证完后进行卸载 （apt install telnetd -y）

备份文件，防止现有配置丢失

cp -a /etc/pam.d/sshd /mnt/sshd-bak-`date +%F`

cp -a /etc/ssh/sshd_config /mnt/sshd_config-bak-`date +%F`

下载openssh

采用国内阿里云镜像站下载，也可从openssh官网下载

按支持的协议选择性下载

<code>#清华大学镜像站（备用）

#wget https://mirrors.tuna.tsinghua.edu.cn/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

若下载认证提示未通过可添加--no-check-certificate 参数跳过认证

wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz --no-check-certificate

解压openssh

tar -zxf openssh-9.8p1.tar.gz

进入解压目录

cd openssh-9.8p1/

配置参数

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-kerberos5 --with-libedit --with-pam --with-gssapi --with-zlib --with-ssl-dir=/usr/local/openssl --with-privsep-path=/run/sshd

编译与安装

make && make install

重启sshd生效

systemctl restart sshd

查看openssh 版本

ssh -V

现在，您已经成功在 Ubuntu 20.04 上编译安装了 OpenSSH。

openssh升级后root用户无法远程登录 （可选操作，根据实际环境要求选择是否开启）

编辑sshd_config配置文件PermitRootLogin参数为yes，保存并重启sshd

<code>PermitRootLogin yes

隐藏版本号: （9.8p1及后续版本影藏失效，待处理）

本地执行’ssh -V"任可见，根据实际版本号进行替换，x.x 可为任意字母或数字

根据ssh-V 和 strings /usr/sbin/sshd|grep 'OpenSSH_' 确定要修改的版本(ssh远程时版本号后一般不带字母)

备份文件

<code>cp -a /usr/sbin/sshd /usr/sbin/sshd-bak-`date +%F`

修改版本号

sed -i 's/OpenSSH_9.8/OpenSSH_x.x/g' /usr/sbin/sshd

重启sshd服务

systemctl restart sshd

验证隐藏版本号

使用nmap工具进行验证或新建连接方式查看，版本号变为OpenSSH x.x （nmap安装：apt install nmap）

nmap -p 22 -sV -v -n 主机ip

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH x.x (protocol 2.0)

安全加固

修复diffie-hellman 漏洞,去掉diffie-hellman开头的参数

sshd -T|grep -w kexalgorithms

<code>sntrup761x25519-sha512@openssh.com 参数在openssh 8.5版本引入，9.0版本中默认添加

openssh升级后rke 启动集群报ssh认证错误:（非安全加固，统一添加sshd配置）

PubkeyAcceptedKeyTypes=+ssh-rsa

sshd_config 配置最后添加

<code>vim /etc/ssh/sshd_config

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com

kexalgorithms sntrup761x25519-sha512@openssh.com,ecdh-sha2-nistp384,ecdh-sha2-nistp521

MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com

PubkeyAcceptedKeyTypes=+ssh-rsa

重启sshd

systemctl restart sshd

FAQ：

openssl与openssh编译后是否可删除原系统默认安装的opensl与openssh

答：建议都保留

针对openssl

若狠心删除，openssl软链接的是原系统的openssl执行文件，删除原系统默认安装的opensl后会将openssl执行文件一并删除，重新创建一次软连接即可

apt remove openssl

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

针对openssh

openssh编译时已指定/etc/ssh路径，删除不仅把原系统安装的openssh卸载，编译安装的也会卸载，建议保留，若已删除，请重新按openssh编译安装步骤执行

openssl有新版本怎么升级

答：下载新版本，解压并进入目录，再次运行编译与安装、加载lib库、查看版本号是否更新即可，无需其他操作

若普通用户执行openssl version还是之前安装的版本，但是root用户显示却是已升级的版本

openssl安装目录权限添加普通用户可读设置（正常编译安装应该不存在需要再次设置权限问题）

find /usr/local/openssl/ -type d |xargs chmod o+r

远程登录ssh连接慢，需要等待好一会儿才能连接成功

编辑配置文件：/etc/ssh/sshd_config，取消 #UseDNS no前注释，保存后重启sshd服务