安全扫描要求屏蔽ssh版本信息，也就是说在你ssh -V的时候，不能够显示ssh的版本信息，我之后在网上查找了一些资料，都说需要使用tar包安装ssh，并在解压之后修改sshd.c文件，将version部分进行修

改，我这个项目中有700多台设备，所以需要使用rpm包，之后通过脚本来进行升级ssh的操作。

那如何将tar包变成rpm包呢，使用rpmbuild工具是可以将tar包编译成rpm包的，但我没这么做，我从rhn上下载了ssh的src.rpm包，我觉得这个更可靠，毕竟是redhat发布的，并且这个ssh包的版本也符合安

全整改的要求。

我之后下载了openssh-5.3p1-114.el6_7.src.rpm，之后步骤如下：

step1：rpm -ivh 安装src.rpm

rpm -ivh openssh-5.3p1-114.el6_7.src.rpm

step2：安装rpmbuild的环境

yum install compat-gcc* gcc* rpm-build rpm-devel rpm-libs 其他包忘了，可以在网上找相应的文章

step3：第一步之后会在/root下生成一个rpmbuild目录，自动创建几个目录，你也不用手动创建其他的目录，因为你在编译的过程中rpmbuild会自动创建齐全如下6个目录：

BUILD  BUILDROOT  RPMS  SOURCES  SPECS  SRPMS

BUILD和BUILDROOT是编译过程中需要的目录，其中BUILDROOT是中间过程目录

RPMS是编译完成后生成的rpm包的存放地址

SOURCES是编译过程在自动解压后，存放解压文件的目录

SPECS目录很重要，是你制作或修改spec文件的存放目录

SRPMS是存放.src.rpm文件的目录

关于这些目录和rpmbuild的工作原理，这里就不详细说了，具体可以参考网上其他文章

step4：修改spec文件===这步是重点，本文会详细描述。在修改过程中遇到了几个问题，一并记录如下。

############################################

【spec中各主要部分说明如下】

%pre和%setup和%patch    -bp  解压tar包，并应用补丁

%setup通常是从/usr/src/asianux/SOURCES里的包解压到/usr/src/asianux/BUILD/%{name}-%{version}中。

%build            -bc  build。等于tar包的make===在/usr/src/asianux/BUILD/%{name}-%{version}目录中进行make的工作

%configure     执行源代码的configure配置在/usr/src/asianux/BUILD/%{name}-%{version}目录中进行

%instal            -bi  make install===在/usr/src/asianux/BUILD/%{name}-%{version}目录中进行make install的操作

-bb 是构建一个binary包；===执行了所有过程

-ba 是构建一个binary包和一个source包===执行了所有过程

%files 定义那些文件或目录会放入rpm中

%defattr (-,root,root) 指定包装文件的属性，分别是(mode,owner,group)，-表示默认值，对文本文件是0644，可执行文件是0755

bp=tar+copy

bc=configure+make

bi=make install

%file是将所有的文件、包都做成rpm形式

bb=bp+bc+bi

ba=bp+bc+bi+bb

############################################

我最初的设想是这样的：

先执行-bp，将源码解压到BUILD目录

之后修改sshd.c

之后修改spec文件，注释掉%pre、%setup、%patch部分

之后执行-bb，因为-bb包括了-bp/-bc/-bi等步骤，所以之前注释掉%pre,%setup,%patch部分后就会使用修改后的sshd.c文件来执行%build步骤、%configure步骤和%instal、%file步骤了

后来发现rpmbuild -bb或-ba都不行，因为bb=bp+bc+bi，ba更狠，还加上了bb，这个过程会将你之前解压出来的修改后的sshd.c给覆盖掉======【这也是这篇文章要解决的核心问题】

后来我又想，有没有什么参数，可以跳过-bb和-ba过程中的bp、bc步骤呢，也就是这样：

首先我用-bp解压，并将解压后的各种文件拷贝到相关目录(自动的进行)，例如spec文件拷贝到SPEC目录，其他文件拷贝到BUILD目录或者SOURCE===执行rpm -ivh ssh.src.rpm即可

之后修改sshd.c文件

之后修改iaspec文件

之后用某个特殊的参数执行rpmbuild -bb或-ba，让-bb或-ba跳过解压和configure、make步骤，后来发现，根本不好使。

是有2个参数，--nobuild和--short-circuit，命令如下：rpmbuild -bb spec --nobuild；或者rpmbuild --short-circuit -bi spec，但结果不行

之后我又查看了一下rpmbuild文档，上边说rpmbuild的过程支持使用脚本，这是个大好消息!!!这样就可以在spec文件中调用脚本了，问题解决了。如下：

########################

%prep段

这个段是预处理段，通常用来执行一些解开源程序包的命令，为下一步的编译安装作准备。%prep和下面的%build，%install段一样，除了可以执行RPM所定义的宏命令（以%开头）以外，还可以执行SHELL命令

，命令可以有很多行，如我们常写的tar解包命令。

########################

我在%configure 行的前边添加了如下两行：

sed -i s#'snprintf(buf, sizeof buf, "SSH-%d.%d-%.100s%s", major, minor,'#'snprintf(buf, sizeof buf, "goodbye");'#g sshd.c

sed -i '/(options.show_patchlevel == 1) ? SSH_VENDOR_PATCHLEVEL : SSH_VERSION, newline);/ d' sshd.c

之后会执行step5

step5：rpmbuild -ba openssh.spec

step6：之后到RPMS目录，就可以yum localinstall openssh-5.3p1-114.el6.x86_64.rpm

注意：会编译出很多包，如下，可以都一起安装，也可以只安装ssh

[root@scd1 x86_64]# ls

openssh-5.3p1-114.el6.x86_64.rpm            openssh-ldap-5.3p1-114.el6.x86_64.rpm

openssh-askpass-5.3p1-114.el6.x86_64.rpm    openssh-server-5.3p1-114.el6.x86_64.rpm

openssh-clients-5.3p1-114.el6.x86_64.rpm    pam_ssh_agent_auth-0.9.3-114.el6.x86_64.rpm

openssh-debuginfo-5.3p1-114.el6.x86_64.rpm

安装更新完毕，我又在另一个节点上"ssh -V 更新ssh的节点ip"   试了一下，发现还是有版本信息，可见，网上的这种方法不行，不能屏蔽ssh版本信息，但确实解决了rpmbuild过程修改软件内容这一问题。