我把生产服务器干烂的后续
之前的情况请移步： www.hesudu.com/t/1059898＃reply74

感谢：这里首先感谢一下 V 友大佬们的宝贵建议，在整理了大家的建议后，我成功升级了 9 个生产服务器的 OpenSSH 的版本。

背景：领导要求升级服务器 OpenSSH 版本，其实本人并不是专职运维，只是一名开发，但无奈部门的运维离职梭哈考公，并且领导要求这个漏洞要求尽快修复，我只能是自己研究如何升级 OpenSSH 了。

准备：

大量搜索资料。

自己为了模拟服务器的环境，或者说测试升级步骤的是否通用，用 Docker 容器、WSL2 、自己的华为云服务器、虚拟机装的(Ubuntu 、CentOS 、RedHat)，甚至把自己笔记本装的 ArchLinux 也用上了，庆幸的是，测试的结果都是升级成功了。

注意的点：

自己模拟一下 PROD 服务器的环境，测试一下（基础软件的版本也要一致）。

升级之前和同事打声招呼一下，可能同事写的脚本会因为升级 SSH 而出现小问题。

备份好 SSH 和 SSH 的配置，还有升级中使用到的其他库/软件尽量也备份。

多开启几个 SSH 连接，一个坏了有可能另一个还是可以连上的。

提前安装好 telnet ，多开几个 telnet 连接，防止 SSH 升级失败，无法远程连接。

升级之前查一下这个服务器的 gcc 等基础软件的版本，尽量和你升级成功案例基础软件的版本一致，升级完成之后，再把 gcc 等软件切换回之前的版本，防止有其他影响。

手动安装一些 rpm 的时候，慎用--nodeps 强装。

升级之后如果稳定连接了一段时间后，可以删除掉 telnet 了。

复盘 / 感慨 / 忧虑：

9 个服务器ssh -V 输出我想要的版本的时候，是我本科毕业工作这三个月以来最有成就感的事情。
其实复盘上次升级失败的经历，是自己没有研究明白升级 SSH 的步骤，就盲目的去升级，太想当然了。
高兴之余我不确定自己本次的升级之旅是否是侥幸成功，或许我只是碰巧成功了吧。
再次感谢 V 友们提供的宝贵建议。

建议编译源码，很简单，arm 平台就交叉编译，我们升级把原来默认的停掉，备份/etc/ssh(看操作系统，基本都是这个)目录下的所有文件，自己写个 service 文件关联编译的二进制文件，然后扔到 systemd 下，然后以 sshd1234567(根据 service 服务名来)启动，结束，但是你以为这是最简单的么，有个项目领导来了一句：把服务停了就行，扫完再打开。我的评价是：6🤣

可以先开 telnet 登录，然后用 telnet 登录上去搞，成功了再关掉 telnet 。

用这个比较方便 github.com/binary-manu/static-cross-openssh

尽量选用有维护的系统，比如 ubuntu server lts , debian 等等，这种漏洞就一个 sudo apt update && sudo apt upgrade 的事情，自己编译，破坏二进制路径/文件不说，生产中还容易失联断网 。用自带的包管理升级吧

学到了：操作生产服务器要小心行事儿

赞，作为一个毕业才三个月的新人，楼主的执行力和自省力可以说是杠杠的了

不是你还真敢直接升级啊，1 楼说的源码编译才是最安全的

物理服务器一般都有 ipmi/iDRAC ，云服务器(VPS)都提供 vnc ，sshd 说实话随便折腾都不要紧，只能说你没想明白关键。

为什么要编译，包管理器不好用么。另外，机器用 wirgurad 组网，通过内网连 ssh 多安全，雷打不动

另外，我记得那次的 ssh 漏洞好像只对一部分版本起作用吧，RHEL8 这个级别的不需要担心，要担心的是 RHEL9

容器化部署的话，升级 glibc openssh openssl 一般也不会对业务有影响，升级失败大不了用 VNC 连接修复。 不过你才毕业几个月，你们上级也是心大。就算是运维岗，才毕业三个月的我也不敢让他去单独升级。

其实我一直觉得程序员、DBA 都应该要有基本的操作系统运维能力，不然工作很难开展

glibc 版本啊，死去的记忆在攻击我。当年在嵌入式行业每时每刻都在被这 b 玩意坑。

升级 OpenSSH 算是基本的操作系统运维能力吗

我们甚至是 6.x

非要升级可以先去打快照，若 openssh 无法升级，可通过在服务器的防火墙或 hosts.deny 和 hosts.allow 配置访问控制策略，仅允许个别 IP 访问 22 端口，以此降低漏洞被利用的可能性。

如果是 ubuntu 的话这步都不用做.系统自带类似 windows update 的东西.会自己自行更新的

把 glibc 干死了 telent 也不行了吧（当然已开启的应该不受影响

老系统 版本依赖太多了，有时候没法升级的，要求不高的话可以试着修改本地软件版本号。因为大部分漏洞扫描设备都是校验版本号而不是原理性扫描
我感觉我会的都是皮毛中的皮毛

这是必做的，上次就没研究明白

可以，我研究看看

版本过于老旧

哈哈哈，新思路

有包管理肯定是优先包管理升级，手动编译还要考虑系统的其他 lib 依赖，麻烦的很