某单位工控系统存被绿盟工控安全扫描器扫描存在SSH漏洞，在给出解决方案后，运维人员没接触过Readhat随自己动手。经过几个小时的努力最终成功升级SSH到7.41版本。因为也是第一次接触Readhat系统做一下记录。

0x01 本地环境

SSH版本
[root@redhat-Cotton ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
操作系统版本
[root@redhat-Cotton ~]# cat /etc/issue
Red Hat Enterprise Linux Server release 6.5 (Santiago)

0x02 问题

登录系统，使用yum install/update 更新系统。提示：
“This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register” 无法下载安装戒更新。

究其原因是：redhat默认自带的yum源需要注册才能使用。若我们想丌花钱也可以更新，则需要替换掉redhat的yum源。

即先卸载redhat自带yum，然后下载centos的yum，安装后修改配置文件

0x03 替换yum过程

1、检查是否安装了yum包
 # rpm -qa |grep yum
 2、卸载RedHat自带的yum
 # rpm -qa | grep yum | xargs rpm -e --nodeps
 注：a) xargs是一条Unix和类Unix操作系统的常用命令。它的作用是将参数列表转换成小块分段传递给其他命令，以避免参数列表过长的问题
 b) --nodeps 强制卸载,丌管依赖性
 3、到http://mirrors.163.com/centos中使用命令下载软件包
 wget http://mirrors.163.com/centos/6/os/x86_64/Packages/python-iniparse-0.3.1-2.1.el6.noarch.rpm
 wget http://mirrors.163.com/centos/6/os/x86_64/Packages/yum-metadata-parser-1.1.2-16.el6.x86_64.rpm
 wget http://mirrors.163.com/centos/6/os/x86_64/Packages/yum-3.2.29-40.el6.centos.noarch.rpm
 wget http://mirrors.163.com/centos/6/os/x86_64/Packages/yum-plugin-fastestmirror-1.1.30-14.el6.noarch.rpm
 [注]：本文示例为linux 6.4 x86_64位版本，若是32位的即x86的则将上述路径中”x86_64 x86_64 ”改成i386，若为6.5版的可以直接将上面的6改成6.5，软件包丌一定要最新的，一般来说6.4不6.5的软件包是通用的，本人没有测试过，若遇到改成6.5无法下载可以尝试直接按照上述路径下载 如以上链接无法直接下载请进百度网盘下载直接copy进去，但是请注意权限设置，

下载链接: https://pan.baidu.com/s/1nvaFdSd 密码: jugw

4、安装下载的centos的yum包：
 # rpm -ivh python-iniparse-0.3.1-2.1.el6.noarch.rpm
 # rpm -ivh yum-metadata-parser-1.1.2-16.el6.x86_64.rpm
 # rpm -ivh yum-3.2.29-40.el6.centos.noarch.rpm yum-plugin-fastestmirror-1.1.30-14.el6.noarch.rpm
 [注] :最后2个需要一起安装，否则会出现依赖性错误

 5、下载CentOS6-Base-163.repo文件，存放到 /etc/yum.repo.d中
 下面是修改好的，可直接复制进去，我已经直接打包好了此处大家可以直接下载附件：
 7、# yum clean all 清除原有缓存
 8、# yum makecache 获取yum列表：至此yum安装完成，

0x04 RedHat更新Openssh到最新版本

1.更新ssl
 yum update openssl
 更新ssl到OpenSSL 1.0.1e-fips
 2.备份ssh目录
 cp -rf /etc/ssh /etc/ssh.bak
 3.安装telnet，以备ssh更新失败无法远程连接，如果可以现场操作可忽略
 yum install -y gcc openssl-devel pam-devel rpm-build
 注意如果在内网单独下载Rpm包手动安装，如果报错加--force --nodeps
 例：rpm -ivh ope1xxx    --force --nodeps
 5.解压升级包，并安装
 tar -zxvf openssh-7.4p1.tar.gz
 cd openssh-7.4p1
 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
 make && make install
 6、安装后提示
 /etc/ssh/ssh_config already exists, install will not overwrite
 /etc/ssh/sshd_config already exists, install will not overwrite
 /etc/ssh/moduli already exists, install will not overwrite
 ssh-keygen: generating new host keys: ECDSA ED25519
 /usr/sbin/sshd -t -f /etc/ssh/sshd_config
 /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication
 /etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials
7.修改配置文件允许root用户远程登陆
vim /etc/ssh/sshd_config
#PermitRootLogin yes
修改为
PermitRootLogin yes
8.重启openSSH
service sshd restart 
9.查看版本
ssh -V
 至此升级成功

本文为棉花哥博客原创，详情见http://www.mianhuage.com/659.html