Chinaunix首页 | 论坛 | 博客
  • 博客访问: 122046
  • 博文数量: 90
  • 博客积分: 1370
  • 博客等级: 中尉
  • 技术积分: 1005
  • 用 户 组: 普通用户
  • 注册时间: 2011-12-20 20:37
文章分类

全部博文(90)

文章存档

2012年(90)

分类: IT业界

2012-01-08 14:02:59

概述
  OpenSSH是开源软件,因为其能进行信息安全的传送,所以能广泛地应用在各种网络环境中,本文简单讲述了Openssh如何安装,以及安装的时候需要注意几个要点,并讲述了安装以后的简单设置。

SSH简介
  在Solaris 下直接telnet另外一台主机系统的话,如果用snoop来跟踪所传送的数据包的,可以非常轻松获得系统的登陆口令,因为在telnet程序在发送网络信息的时候,对包的内容是不加密的,直接用明码传送,对一些别有用心的用户来说,就有机会获得root等等用户的口令,这对系统的安全是个非常大的威胁。在RedHat的AS3版本,缺省安装的时候in.telnetd的软件包都不安装,只安装缺省的SSH。
  SSH的本意就是Secure Shell,是个安全的shell,而且SSH使用ssl安全套接字来传输数据,对信息进行加密传送,这样增加了安全性。Openssh是开源组织发布的一个软件,可以在网站能下载到相应的Solaris的版本。
Openssh的安装
  在Solaris下安装软件可以通过pkgadd命令,也可以通过admintool、smc、 swmtool等工具,swmtool是admintool的一个子集,在Soalris 10上admintool已经完全被smc替代。OpenSSH,OpenSSL,Gcc等软件可到以下的地址下载:
  
  
  
  OpenSSH目前提供的版本为4.2p1,在安装的过程中切记以下的几点:
  1. 该软件安装在/usr/local目录下,其执行文件都在/usr/local/bin下面,但是sshd这个守护进程在/usr/local/sbin/下面,如果要执行sshd的话,必须是使用绝对路径来运行该程序,否则会报错!
  2. 安装OpenSSH必须安装Openssl,否则OpenSSH将无法正确的工作。
  3. OpenSSH由于使用一些开源的库函数,所以必须安装zlib,libgcc或者直接安装gcc-3.3.2及以后的版本的gcc。
  A. 安装gcc-3.3.2(或者安装zlib,libgcc这两个软件包)
    用gzip –d gcc-3.3.2-sol8-sparc-local.gz 将压缩包解开,然后使用
    pkgadd -d gcc-3.3.2-sol8-sparc-local 安装gcc软件:
    The following packages are available:
    1 SMCgcc gcc (sparc) 3.3.2
    Select package(s) you wish to process (or 'all' to process
    all packages). (default: all) [?,??,q]: 1
    一路回车即可成功安装!
  B. 安装OpenSSH软件
    pkgadd –d openssh-4.2p1-sol8-sparc-local
    The following packages are available:
    1 SMCossh421 openssh (sparc) 4.2p1
    Select package(s) you wish to process (or 'all' to process
    all packages). (default: all) [?,??,q]:1
    一路回车即可成功安装!
  C.安装OpenSSL软件
    pkgadd -d openssl-0.9.8a-sol8-sparc-local
    The following packages are available:
    1 SMCossl8a openssl (sparc) 0.9.8a
    Select package(s) you wish to process (or 'all' to process
    all packages). (default: all) [?,??,q]:1
    一路回车即可成功安装!
OpenSSH安装后的设置
  安装完后,需要进行一些必要的设置才能使得sshd正常工作,首先需要设置PATH,这样对配置比较方便:
  BSH: PATH=/usr/local/bin:$PATH;export PATH
  CSH: setenv PATH /usr/local/bin:$PATH
  KSH: export PATH=/usr/local/bin:$PATH
  这里不需要设置sshd的路径,因为该命令必须使用绝对路径来执行,如果直接执行,该命令会报错。
  1. 首先生成必要rsal、dsa、rsa等类型的key文件,按以下的命令来做:
  # ssh-keygen -t rsa1 -f /usr/local/etc/ssh_host_key -N ""
  Generating public/private rsa1 key pair.
  Your identification has been saved in /usr/local/etc/ssh_host_key.
  Your public key has been saved in /usr/local/etc/ssh_host_key.pub.
  The key fingerprint is:
  5c:30:b9:cc:45:b6c3:c1:e1:a2:cc:7c:0f:3c:29
  #ssh-keygen -t dsa -f /usr/local/etc/ssh_host_dsa_key -N ""
  Generating public/private dsa key pair.
  ification has been saved in /usr/local/etc/ssh_host_dsa_key.
  Your public key has been saved in /usr/local/etc/ssh_host_dsa_key.pub.
  The key fingerprint is:
  30:ce:d9:c1:61:36:40:0b:9e:04:6f:89:96:f1:e7:39 root@v420
  #ssh-keygen -t rsa -f /usr/local/etc/ssh_host_rsa_key -N ""
  Generating public/private rsa key pair.
  Your identification has been saved in /usr/local/etc/ssh_host_rsa_key.
  Your public key has been saved in /usr/local/etc/ssh_host_rsa_key.pub.
  The key fingerprint is:
  37:34:88:98:b3:8c:1b:50:e0:50:9c:3d:18:c6:64:2a
  生成key文件以后,仍然是无法执行运行sshd,需要建立sshd用户,要注意的是该用户是没有有效的shell的,这是考虑到了系统的安全,按以下的方法建立用户sshd:
  mkdir /var/empty; chown root:sys /var/empty; chmod 755 /var/empty
  groupadd sshd
  useradd -g sshd -c 'sshd privsep' -d /var/empty -s /bin/false sshd
  建立该用户后,就能直接手工启动sshd这个守护进程了,需要使用绝对路径来执行该守护进程,否则会报错。在老版本里面,一个必须要做到步骤就是必须在 /etc/下建立一个ssh的目录,然后将/usr/local/etc下所有配置文件拷贝到/etc/ssh下面,或者做个符号链接,ln –s /usr/local/etc/ssh /etc/ssh。vi sshd_config文件, 将ListenAdress前面的#注释去掉,再在后面添入主机的IP地址,PermitRootLogin前面#号去掉,后面的no改成yes。不是什么原因,新版本已经缺省允许root远程登录了。
  做完以上的步骤即可手工启动sshd进程了/usr/local/sbin/sshd。以下是启动和关闭脚本的制定,建立/etc/init.d/sshd脚本,内容如下,然后作两个符号链接:
  ln –s /etc/init.d/sshd /etc/rc3.d/S99StarSSHD
  ln –s /etc/init.d/sshd /etc/rc1.d/K99StopSSHD
 
  ------------------/etc/init.d/sshd 脚本参考如下:
  #!/sbin/sh
   KEYDIR=/usr/local/etc/ssh (或者/etc/ssh)
   KEYGEN="/usr/local/bin/ssh-keygen -q"
   PIDFILE=/var/run/sshd.pid
  case $1 in
  'start')
   if [ -x /usr/local/bin/ssh-keygen ]; then
    if [ ! -f "$KEYDIR/ssh_host_rsa_key" ]; then
       echo "Creating new RSA public/private host key pair"
       $KEYGEN -f $KEYDIR/ssh_host_rsa_key -t rsa -N ''
    fi

    if [ ! -f "$KEYDIR/ssh_host_dsa_key" ]; then
     echo "Creating new DSA public/private host key pair"
     $KEYGEN -f $KEYDIR/ssh_host_dsa_key -t dsa -N ''
    fi
   fi

  [ -x /usr/local/sbin/sshd ] && /usr/local/sbin/sshd &
  ;;
  'stop')
   if [ -z "$_INIT_RUN_LEVEL" ]; then
     set -- `/usr/bin/who -r`
     _INIT_RUN_LEVEL="$7"
     _INIT_PREV_LEVEL="$9"
   fi

  if [ $_INIT_RUN_LEVEL -lt $_INIT_PREV_LEVEL ]; then
      /usr/bin/pkill -u 0 -x sshd
  fi
  if [ -f "$PIDFILE" ]; then
    /usr/bin/kill -TERM `/usr/bin/cat $PIDFILE`
  fi
  ;;
  'restart')
  if [ -f "$PIDFILE" ]; then
   /usr/bin/kill -HUP `/usr/bin/cat $PIDFILE
  fi
  ;;
  *)
  echo "Usage: $0 { start | stop }"
  exit 1
  ;;
  esac
阅读(526) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~