OpenSSH的安装和设置
概述
OpenSSH是开源软件,因为其能进行信息安全的传送,所以能广泛地应用在各种网络环境中,本文简单讲述了Openssh如何安装,以及安装的时候需要注意几个要点,并讲述了安装以后的简单设置。
SSH简介
在Solaris 下直接telnet另外一台主机系统的话,如果用snoop来跟踪所传送的数据包的,可以非常轻松获得系统的登陆口令,因为在telnet程序在发送网络信息的时候,对包的内容是不加密的,直接用明码传送,对一些别有用心的用户来说,就有机会获得root等等用户的口令,这对系统的安全是个非常大的威胁。在RedHat的AS3版本,缺省安装的时候in.telnetd的软件包都不安装,只安装缺省的SSH。
SSH的本意就是Secure Shell,是个安全的shell,而且SSH使用ssl安全套接字来传输数据,对信息进行加密传送,这样增加了安全性。Openssh是开源组织发布的一个软件,可以在www.sunfreeware.com网站能下载到相应的Solaris的版本。
Openssh的安装
在Solaris下安装软件可以通过pkgadd命令,也可以通过admintool、smc、 swmtool等工具,swmtool是admintool的一个子集,在Soalris 10上admintool已经完全被smc替代。OpenSSH,OpenSSL,Gcc等软件可到以下的地址下载:
ftp://ftp.sunfreeware.com/pub/freeware/sparc/8/openssh-4.2p1-sol8-sparc-local.gz
ftp://ftp.sunfreeware.com/pub/freeware/sparc/8/openssl-0.9.8a-sol8-sparc-local.gz
ftp://ftp.sunfreeware.com/pub/freeware/sparc/8/gcc-3.3.2-sol8-sparc-local.gz
OpenSSH目前提供的版本为4.2p1,在安装的过程中切记以下的几点:
1. 该软件安装在/usr/local目录下,其执行文件都在/usr/local/bin下面,但是sshd这个守护进程在/usr/local/sbin/下面,如果要执行sshd的话,必须是使用绝对路径来运行该程序,否则会报错!
2. 安装OpenSSH必须安装Openssl,否则OpenSSH将无法正确的工作。
3. OpenSSH由于使用一些开源的库函数,所以必须安装zlib,libgcc或者直接安装gcc-3.3.2及以后的版本的gcc。
A. 安装gcc-3.3.2(或者安装zlib,libgcc这两个软件包)
用gzip –d gcc-3.3.2-sol8-sparc-local.gz 将压缩包解开,然后使用
pkgadd -d gcc-3.3.2-sol8-sparc-local安装gcc软件:
The following packages are available:
1 SMCgcc gcc (sparc) 3.3.2
Select package(s) you wish to process (or 'all' to process
all packages). (default: all) [?,??,q]: 1
一路回车即可成功安装!
B. 安装OpenSSH软件
pkgadd –d openssh-4.2p1-sol8-sparc-local
The following packages are available:
1 SMCossh421 openssh (sparc) 4.2p1
Select package(s) you wish to process (or 'all' to process
all packages). (default: all) [?,??,q]:1
一路回车即可成功安装!
C.安装OpenSSL软件
pkgadd -d openssl-0.9.8a-sol8-sparc-local
The following packages are available:
1 SMCossl8a openssl (sparc) 0.9.8a
Select package(s) you wish to process (or 'all' to process
all packages). (default: all) [?,??,q]:1
一路回车即可成功安装!
OpenSSH安装后的设置
安装完后,需要进行一些必要的设置才能使得sshd正常工作,首先需要设置PATH,这样对配置比较方便:
BSH: PATH=/usr/local/bin:$PATH;export PATH
CSH: setenv PATH /usr/local/bin:$PATH
KSH: export PATH=/usr/local/bin:$PATH
这里不需要设置sshd的路径,因为该命令必须使用绝对路径来执行,如果直接执行,该命令会报错。
1. 首先生成必要rsal、dsa、rsa等类型的key文件,按以下的命令来做:
# ssh-keygen -t rsa1 -f /usr/local/etc/ssh_host_key -N ""
Generating public/private rsa1 key pair.
Your identification has been saved in /usr/local/etc/ssh_host_key.
Your public key has been saved in /usr/local/etc/ssh_host_key.pub.
The key fingerprint is:
5c:30:b9:cc:45:b6:fd:c3:c1:e1:a2:cc:7c:0f:3c:29
#ssh-keygen -t dsa -f /usr/local/etc/ssh_host_dsa_key -N ""
Generating public/private dsa key pair.
ification has been saved in /usr/local/etc/ssh_host_dsa_key.
Your public key has been saved in /usr/local/etc/ssh_host_dsa_key.pub.
The key fingerprint is:
30:ce:d9:c1:61:36:40:0b:9e:04:6f:89:96:f1:e7:39 root@v420
#ssh-keygen -t rsa -f /usr/local/etc/ssh_host_rsa_key -N ""
Generating public/private rsa key pair.
Your identification has been saved in /usr/local/etc/ssh_host_rsa_key.
Your public key has been saved in /usr/local/etc/ssh_host_rsa_key.pub.
The key fingerprint is:
37:34:88:98:b3:8c:1b:50:e0:50:9c:3d:18:c6:64:2a
生成key文件以后,仍然是无法执行运行sshd,需要建立sshd用户,要注意的是该用户是没有有效的shell的,这是考虑到了系统的安全,按以下的方法建立用户sshd:
mkdir /var/empty; chown root:sys /var/empty; chmod 755 /var/empty
groupadd sshd
useradd -g sshd -c 'sshd privsep' -d /var/empty -s /bin/false sshd
建立该用户后,就能直接手工启动sshd这个守护进程了,需要使用绝对路径来执行该守护进程,否则会报错。在老版本里面,一个必须要做到步骤就是必须在 /etc/下建立一个ssh的目录,然后将/usr/local/etc下所有配置文件拷贝到/etc/ssh下面,或者做个符号链接,ln –s /usr/local/etc/ssh /etc/ssh。vi sshd_config文件, 将ListenAdress前面的#注释去掉,再在后面添入主机的IP地址,PermitRootLogin前面#号去掉,后面的no改成yes。不是什么原因,新版本已经缺省允许root远程登录了。
做完以上的步骤即可手工启动sshd进程了/usr/local/sbin/sshd。以下是启动和关闭脚本的制定,建立/etc/init.d/sshd脚本,内容如下,然后作两个符号链接:
ln –s /etc/init.d/sshd /etc/rc3.d/S99StarSSHD
ln –s /etc/init.d/sshd /etc/rc1.d/K99StopSSHD
------------------/etc/init.d/sshd 脚本参考如下:
#!/sbin/sh
KEYDIR=/usr/local/etc/ssh (或者/etc/ssh)
KEYGEN="/usr/local/bin/ssh-keygen -q"
PIDFILE=/var/run/sshd.pid
case $1 in
'start')
if [ -x /usr/local/bin/ssh-keygen ]; then
if [ ! -f "$KEYDIR/ssh_host_rsa_key" ]; then
echo "Creating new RSA public/private host key pair"
$KEYGEN -f $KEYDIR/ssh_host_rsa_key -t rsa -N ''
fi
if [ ! -f "$KEYDIR/ssh_host_dsa_key" ]; then
echo "Creating new DSA public/private host key pair"
$KEYGEN -f $KEYDIR/ssh_host_dsa_key -t dsa -N ''
fi
fi
[ -x /usr/local/sbin/sshd ] && /usr/local/sbin/sshd &
;;
'stop')
if [ -z "$_INIT_RUN_LEVEL" ]; then
set -- `/usr/bin/who -r`
_INIT_RUN_LEVEL="$7"
_INIT_PREV_LEVEL="$9"
fi
if [ $_INIT_RUN_LEVEL -lt $_INIT_PREV_LEVEL ]; then
/usr/bin/pkill -u 0 -x sshd
fi
if [ -f "$PIDFILE" ]; then
/usr/bin/kill -TERM `/usr/bin/cat $PIDFILE`
fi
;;
'restart')
if [ -f "$PIDFILE" ]; then
/usr/bin/kill -HUP `/usr/bin/cat $PIDFILE
fi
;;
*)
echo "Usage: $0 { start | stop }"
exit 1
;;
esac
