用openssh构建安全网络-me09-ChinaUnix博客

用Openssh构建安全网络
作者：chdonald
由于公司里Solaris平台的应用服务器较多，工作时需要登录干活，下班在家也要时不时地使用系统资源，这就涉及到intranet网络安全性和使用方便性的二者权衡。为了构建一个相对安全的网络，笔者已经在所有服务器上安装了tcp wrapper软件，用以控制对客户端IP地址的限制，并将所有服务器的入口都局限于一台专用的登录服务器，而这台登录服务器则作为重点保护的入口主机。为了保证整个工作环境的安全，采用了openssh的两种验证方式相结合，对所有工作主机进行了整体的配置和保护。

实施步骤：
在每台服务器上
1. 安装软件包:
openssh-3.4pl-sol7-sparc-local
openssl-0.96d-sol7-sparc-local
zlib-1.1.4-sol7-sparc-local
prngd-0.0.25-sol7-sparc-local
egd-0.8-sol7-sparc-local

2. 安装prngd和sshd的启动脚本
::::::::::::::
S98prngd
::::::::::::::
#!/bin/sh

pid=`/usr/bin/ps -e | /usr/bin/grep prngd | /usr/bin/sed -e 's/^ *//' -e 's/ .*//'`
case $1 in
'start')
/usr/local/sbin/prngd /var/spool/prngd/pool
;;
'stop')
if [ "${pid}" != "" ]
then
/usr/bin/kill ${pid}
fi
;;
*)
echo "usage: /etc/init.d/prngd {start|stop}"
;;
esac

::::::::::::::
S98sshd
::::::::::::::
#!/bin/sh

pid=`/usr/bin/ps -e | /usr/bin/grep sshd | /usr/bin/sed -e 's/^ *//' -e 's/ .*//'`
case $1 in
'start')
/usr/local/sbin/sshd
;;
'stop')
if [ "${pid}" != "" ]
then
/usr/bin/kill ${pid}
fi
;;
*)
echo "usage: /etc/init.d/sshd {start|stop}"
;;
esac

3. 用prngd生成伪随机初始种子数
cat /var/log/syslog /var/adm/messages > /usr/local/etc/prngd/prngd-seed
mkdir /var/spool/prngd
/etc/rc2.d/S98prngd start
检查prngd工作是否正常: /usr/local/bin/egc.pl /var/spool/prngd/pool get
显示如: 9151 bits of entropy in pool

4. 增加sshd用户
mkdir /var/empty
chown root /var/empty
chgrp sys /var/empty
chmod 755 /var/empty
groupadd sshd
useradd –g sshd –c ‘sshd privsep’ –d /var/empty –s /bin/false sshd

5. 修改tcpd的控制文件/etc/hosts.allow和/etc/hosts.deny
ALL:n.n.n.n #登录主机IP

6. 在server端创建主机密钥对
ssh-keygen –t rsa1 –f /usr/local/etc/ssh_host_key –N “”
ssh-keygen –t dsa –f /usr/local/etc/ssh_host_dsa_key –N “”
ssh-keygen –t rsa –f /usr/local/etc/ssh_host_rsa_key –N “”

启动sshd:
/etc/rc2.d/S98sshd start

7. 关闭原telnet和ftp服务
修改/etc/inetd.conf 文件，kill –HUP 关闭telnet和ftp服务
8. 在客户端做以下测试
UNIX客户端:
Ssh [-l username] [-p port] //如果用-v参数，进入调试状态，这是一个很好的帮助工具（取代telnet）
Sftp [-l username] [-p port] （取代ftp）

WINDOWS:客户端
Securecrt 3.4.5 //在session的配置中，authentication使用password方式
Securefx2.0.3

以上为默认安装情况，即SSH的密码验证。
为了保证唯一的一台登录服务器的安全，又不至于在修改sshd配置后重启进程带来无法登录管理的问题，继续使用telnet和ftp服务，结合采用SSHD的密钥验证方式，并且在/etc/hosts.allow文件中做以下设置：
################# internal network ######################
ALL:n.n.n.n #operator1
ALL:n.n.n.n #operator2
################## out network ###########################
sshd: ALL #RSA auth
这样，管理员在公司的固定IP地址仍旧可以很方便地登录到主机上操作，而如果在家中或外出出差，由于IP地址是非固定的，可以通过sshd的密钥验证来进行登录。

服务器配置如下:
/usr/local/etc/sshd_config:
# $OpenBSD: sshd_config,v 1.56 2002/06/20 23:37:12 markus Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
HostKey /usr/local/etc/ssh_host_key
# HostKeys for protocol version 2
HostKey /usr/local/etc/ssh_host_rsa_key
HostKey /usr/local/etc/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFO

# Authentication:

#LoginGraceTime 600
#PermitRootLogin yes
#StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# rhosts authentication should not be used
#RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# For this to work you will also need host keys in /usr/local/etc/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

#AFSTokenPassing no

# Kerberos TGT Passing only works with the AFS kaserver
#KerberosTgtPassing no

# Set this to 'yes' to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt yes

#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
UsePrivilegeSeparation yes
Compression yes

#MaxStartups 10
# no default banner path
#Banner /some/path
#VerifyReverseMapping no

# override default of no subsystems
Subsystem sftp /usr/local/libexec/sftp-server

这里关闭了SSH的密码验证方式，采用RSA的密钥验证方法,用户需要首先在服务器上用ssh-keygen –t rsa在自己的主目录下.ssh目录里自动生成密钥对,id_rsa(私钥)和id_rsa.pub(公钥),然后手工将id_rsa.pub拷贝成 autohrized_keys文件.并将id_rsa和id_rsa..pub文件传至客户端保存好,同时删除服务器端的id_rsa和 id_rsa.pub文件。
客户端测试：如果是UNIX客户端,将id_rsa和id_rsa.pub放在用户主目录的.ssh子目录下,
用ssh和sftp可以进行测试；如果是WINDOWS系统的客户端,可以通过SECURECRT指定authencation为 publickey方式，并且在properties中的session settings中选用use identity file，指定具体的id_rsa的文件位置，即可登录。这样，只有拥有密钥对的用户才可以登录。当然，得保护好自己的钥匙不可泄露，为安全起见，服务器需要定时改变每个用户的密钥。

通过以上对intranet内部服务器的安全配置，实现了安全性和方便性的整合。