OpenSSH漏洞修复步骤：手把手教你安全升级，抵御远程代码执行风险（2025最新版）-拾贝生活号

近期，国家信息安全漏洞库（CNNVD）通报了OpenSSH存在高危安全漏洞（CNNVD-202407-017 / CVE-2024-6387），攻击者可利用该漏洞在无需认证的情况下远程执行任意代码，直接获得系统控制权！影响范围覆盖OpenSSH 8.5p1至9.8p1版本。本文将为你提供一份详尽、安全、可操作的OpenSSH漏洞修复指南，涵盖版本检测、依赖安装、源码编译升级、备份恢复等全流程，特别适合企业内网或离线环境使用。

OpenSSH漏洞修复步骤：手把手教你安全升级，抵御远程代码执行风险（2025最新版）

漏洞背景与危害影响

OpenSSH 是 Linux/Unix 系统中最核心的远程管理工具，用于加密远程登录（SSH）、文件传输（SCP/SFTP）等操作。一旦其存在漏洞，将直接威胁服务器安全。

根据国家信息安全漏洞库（CNNVD）通报，CVE-2024-6387 是一个高危竞争条件漏洞，攻击者无需任何用户凭证，即可通过构造特殊请求触发该漏洞，实现远程代码执行（RCE），进而完全控制目标服务器。

⚠️ 影响范围：

受影响版本：OpenSSH 8.5p1 至 9.8p1 之前的版本
建议升级版本：OpenSSH 9.8p1 或更高版本（如 10.0p1）

🔍 立即检查你的服务器是否受影响！

第一步：检测当前OpenSSH版本

在进行修复前，首先确认你的系统是否处于风险之中。

# 查看OpenSSH版本
ssh -V
# 或
/usr/sbin/sshd -V

输出示例：

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

如果你的版本号在 OpenSSH_8.5p1 到 OpenSSH_9.8p1 之间，则必须立即升级！

修复前准备：备份与依赖安装

✅ 3.1 多开终端，防止失联！

重要提示：升级过程中会停止并卸载SSH服务，一旦断开连接将无法重新登录！请务必：

使用 Xshell、MobaXterm 等工具多打开几个终端窗口

不要关闭现有连接

推荐提前配置 Telnet 作为备用连接方式（仅临时使用，修复后立即关闭）

✅ 3.2 备份关键配置文件

# 停止SSH服务（先不停，仅备份）
# systemctl stop sshd

# 备份SSH配置文件
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp -p /usr/sbin/sshd /usr/sbin/sshd.bak
cp -p /usr/bin/ssh /usr/bin/ssh.bak
cp -p /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak
cp -rf /etc/ssh/ /etc/ssh.bak/
cp -rf /etc/pam.d/sshd /etc/pam.d/sshd.bak

✅ 3.3 安装编译依赖

# CentOS/RHEL 系统
yum install -y gcc gcc-c++ make autoconf openssl-devel zlib-devel pam-devel perl-IPC-Cmd

# Ubuntu/Debian 系统
apt update
apt install -y build-essential libssl-dev zlib1g-dev libpam0g-dev

💡 常见报错解决：
若编译 OpenSSL 时报错 Can't locate IPC/Cmd.pm，请执行：
yum install -y perl-IPC-Cmd

核心三步：源码编译安装（zlib → OpenSSL → OpenSSH）

我们将依次编译安装 zlib、OpenSSL 和 OpenSSH，确保所有依赖为最新安全版本。

🔧 4.1 安装 zlib-1.3.1（压缩库）

# 创建源码目录
mkdir -p /usr/local/src/zlib

# 解压
tar -zxvf zlib-1.3.1.tar.gz -C /usr/local/src/zlib

# 编译安装
cd /usr/local/src/zlib/zlib-1.3.1
./configure --prefix=/usr/local/zlib
make && make install

🔧 4.2 安装 OpenSSL-3.3.0（加密库）

# 创建目录
mkdir -p /usr/local/src/openssl

# 解压
tar -zxvf openssl-3.3.0.tar.gz -C /usr/local/src/openssl

# 编译安装
cd /usr/local/src/openssl/openssl-3.3.0
./config --prefix=/usr/local/ssl --shared zlib
make && make install

# 更新系统动态库链接
echo '/usr/local/ssl/lib64' >> /etc/ld.so.conf
ldconfig

# 创建软链接
ln -sf /usr/local/ssl/bin/openssl /usr/bin/openssl

验证版本：

openssl version -v
# 应输出 OpenSSL 3.3.0 或更高

🔧 4.3 安装 OpenSSH-10.0p1（核心服务）

# 创建目录
mkdir -p /usr/local/src/openssh

# 解压
tar -zxvf openssh-10.0p1.tar.gz -C /usr/local/src/openssh

# 配置编译参数
cd /usr/local/src/openssh/openssh-10.0p1
./configure \
    --prefix=/usr/local/ssh \
    --sysconfdir=/etc/ssh \
    --with-pam \
    --with-ssl-dir=/usr/local/ssl \
    --with-zlib=/usr/local/zlib \
    --without-hardening

# 编译安装
make && make install

配置与服务恢复

✅ 5.1 替换旧文件，配置服务脚本

# 复制启动脚本（适用于SysVinit系统）
cp -rf contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd

# 复制PAM配置
cp -rf contrib/redhat/sshd.pam /etc/pam.d/sshd

# 创建软链接（确保系统调用新版本）
ln -sf /usr/local/ssh/sbin/sshd /usr/sbin/sshd
ln -sf /usr/local/ssh/bin/ssh /usr/bin/ssh
ln -sf /usr/local/ssh/bin/ssh-keygen /usr/bin/ssh-keygen

✅ 5.2 启动SSH服务并验证

# 启动服务
service sshd start
# 或 systemctl start sshd

# 设置开机自启
chkconfig sshd on
# 或 systemctl enable sshd

# 验证服务状态
service sshd status

✅ 5.3 再次检查版本

ssh -V
# 应输出 OpenSSH_10.0p1 或更高

离线环境专用：依赖包与安装包获取

对于无法联网的服务器，可提前下载以下资源：

📦 必备安装包：

zlib-1.3.1.tar.gz → https://zlib.net/
openssl-3.3.0.tar.gz → https://www.openssl.org/source/
openssh-10.0p1.tar.gz → https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

📦 离线依赖包（CentOS 7）：

包含 perl-IPC-Cmd 等26个RPM包，可通过以下方式获取：

百度网盘：https://pan.baidu.com/s/1a3g-D5__MTe1InLQHF2utw 提取码：LY25
安装命令：rpm -ivh --force *.rpm

安全建议与最佳实践

定期更新：关注OpenSSH官方公告，及时修复新漏洞。
最小权限原则：禁用 root 远程登录，使用普通用户 + sudo。
密钥登录替代密码：提高认证安全性。
防火墙限制：仅允许可信IP访问SSH端口（默认22）。
日志监控：定期检查 /var/log/secure 日志，发现异常登录。

OpenSSH作为系统安全的“第一道门”，其漏洞修复不容忽视。本文提供的离线/在线双模式升级方案，已成功应用于多台生产服务器。只要按照步骤操作，即使是新手也能顺利完成升级。

立即行动：检查你的服务器，执行升级，守护系统安全！