OpenSSH的安装和设置

　　概述

　　OpenSSH是开源软件，因为其能进行信息安全的传送，所以能广泛地应用在各种网络环境中，本文简单讲述了Openssh如何安装，以及安装的时候需要注意几个要点，并讲述了安装以后的简单设置。

　　SSH简介

　　在Solaris下直接telnet另外一台主机系统的话，如果用snoop来跟踪所传送的数据包的，可以非常轻松获得系统的登陆口令，因为在telnet程序在发送网络信息的时候，对包的内容是不加密的，直接用明码传送，对一些别有用心的用户来说，就有机会获得root等等用户的口令，这对系统的安全是个非常大的威胁。在RedHat的AS3版本，缺省安装的时候in.telnetd的软件包都不安装，只安装缺省的SSH。

　　SSH的本意就是Secure Shell，是个安全的shell，而且SSH使用ssl安全套接字来传输数据，对信息进行加密传送，这样增加了安全性。Openssh是开源组织发布的一个软件，可以在www.sunfreeware.com网站能下载到相应的Solaris的版本。

　　Openssh的安装

　　在Solaris下安装软件可以通过pkgadd命令，也可以通过admintool、smc、 swmtool等工具，swmtool是admintool的一个子集，在Soalris 10上admintool已经完全被smc替代。OpenSSH，OpenSSL，Gcc等软件可到以下的地址下载：

　　ftp://ftp.sunfreeware.com/pub/freeware/sparc/8/openssh-4.2p1-sol8-sparc-local.gz

　　ftp://ftp.sunfreeware.com/pub/freeware/sparc/8/openssl-0.9.8a-sol8-sparc-local.gz

　　ftp://ftp.sunfreeware.com/pub/freeware/sparc/8/gcc-3.3.2-sol8-sparc-local.gz

　　OpenSSH目前提供的版本为4.2p1,在安装的过程中切记以下的几点：

　　1． 该软件安装在/usr/local目录下，其执行文件都在/usr/local/bin下面，但是sshd这个守护进程在/usr/local/sbin/下面，如果要执行sshd的话，必须是使用绝对路径来运行该程序，否则会报错！

　　2． 安装OpenSSH必须安装Openssl，否则OpenSSH将无法正确的工作。

　　3． OpenSSH由于使用一些开源的库函数，所以必须安装zlib,libgcc或者直接安装gcc-3.3.2及以后的版本的gcc。

　　A. 安装gcc-3.3.2（或者安装zlib,libgcc这两个软件包）

　　用gzip –d gcc-3.3.2-sol8-sparc-local.gz 将压缩包解开，然后使用

　　pkgadd -d gcc-3.3.2-sol8-sparc-local　安装gcc软件：

　　The following packages are available:

　　1 SMCgcc gcc (sparc) 3.3.2

　　Select package(s) you wish to process (or 'all' to process

　　all packages). (default: all) [?,??,q]: 1

　　一路回车即可成功安装！

　　B. 安装OpenSSH软件

　　pkgadd –d openssh-4.2p1-sol8-sparc-local

　　The following packages are available:

　　1 SMCossh421 openssh (sparc) 4.2p1

　　Select package(s) you wish to process (or 'all' to process

　　all packages). (default: all) [?,??,q]:1

　　一路回车即可成功安装！

　　C．安装OpenSSL软件

　　pkgadd -d openssl-0.9.8a-sol8-sparc-local

　　The following packages are available:

　　1 SMCossl8a openssl (sparc) 0.9.8a

　　Select package(s) you wish to process (or 'all' to process

　　all packages). (default: all) [?,??,q]:1

　　一路回车即可成功安装！

　　OpenSSH安装后的设置

　　安装完后，需要进行一些必要的设置才能使得sshd正常工作，首先需要设置PATH，这样对配置比较方便：

　　BSH: PATH=/usr/local/bin:$PATH;export PATH

　　CSH: setenv PATH /usr/local/bin:$PATH

　　KSH: export PATH=/usr/local/bin:$PATH

　　这里不需要设置sshd的路径，因为该命令必须使用绝对路径来执行，如果直接执行，该命令会报错。

　　1． 首先生成必要rsal、dsa、rsa等类型的key文件，按以下的命令来做：

　　# ssh-keygen -t rsa1 -f /usr/local/etc/ssh_host_key -N ""

　　Generating public/private rsa1 key pair.

　　Your identification has been saved in /usr/local/etc/ssh_host_key.

　　Your public key has been saved in /usr/local/etc/ssh_host_key.pub.

　　The key fingerprint is:

　　5c:30:b9:cc:45:b6:fd:c3:c1:e1:a2:cc:7c:0f:3c:29

　　#ssh-keygen -t dsa -f /usr/local/etc/ssh_host_dsa_key -N ""

　　Generating public/private dsa key pair.

　　ification has been saved in /usr/local/etc/ssh_host_dsa_key.

　　Your public key has been saved in /usr/local/etc/ssh_host_dsa_key.pub.

　　The key fingerprint is:

　　30:ce:d9:c1:61:36:40:0b:9e:04:6f:89:96:f1:e7:39 root@v420

　　#ssh-keygen -t rsa -f /usr/local/etc/ssh_host_rsa_key -N ""

　　Generating public/private rsa key pair.

　　Your identification has been saved in /usr/local/etc/ssh_host_rsa_key.

　　Your public key has been saved in /usr/local/etc/ssh_host_rsa_key.pub.

　　The key fingerprint is:

　　37:34:88:98:b3:8c:1b:50:e0:50:9c:3d:18:c6:64:2a

　　生成key文件以后，仍然是无法执行运行sshd，需要建立sshd用户，要注意的是该用户是没有有效的shell的，这是考虑到了系统的安全，按以下的方法建立用户sshd:

　　mkdir /var/empty; chown root:sys /var/empty; chmod 755 /var/empty

　　groupadd sshd

　　useradd -g sshd -c 'sshd privsep' -d /var/empty -s /bin/false sshd

　　建立该用户后，就能直接手工启动sshd这个守护进程了，需要使用绝对路径来执行该守护进程，否则会报错。在老版本里面，一个必须要做到步骤就是必须在 /etc/下建立一个ssh的目录，然后将/usr/local/etc下所有配置文件拷贝到/etc/ssh下面，或者做个符号链接，ln –s /usr/local/etc/ssh /etc/ssh。vi sshd_config文件, 将ListenAdress前面的#注释去掉,再在后面添入主机的IP地址，PermitRootLogin前面#号去掉,后面的no改成yes。不是什么原因，新版本已经缺省允许root远程登录了。

　　做完以上的步骤即可手工启动sshd进程了/usr/local/sbin/sshd。以下是启动和关闭脚本的制定，建立/etc/init.d/sshd脚本，内容如下，然后作两个符号链接：

　　ln –s /etc/init.d/sshd /etc/rc3.d/S99StarSSHD

　　ln –s /etc/init.d/sshd /etc/rc1.d/K99StopSSHD

　　------------------/etc/init.d/sshd 脚本参考如下：

　　#!/sbin/sh

　　KEYDIR=/usr/local/etc/ssh (或者/etc/ssh)

　　KEYGEN="/usr/local/bin/ssh-keygen -q"

　　PIDFILE=/var/run/sshd.pid

　　case $1 in

　　'start')

　　if [ -x /usr/local/bin/ssh-keygen ]; then

　　if [ ! -f "$KEYDIR/ssh_host_rsa_key" ]; then

　　echo "Creating new RSA public/private host key pair"

　　$KEYGEN -f $KEYDIR/ssh_host_rsa_key -t rsa -N ''

　　fi

　　if [ ! -f "$KEYDIR/ssh_host_dsa_key" ]; then

　　echo "Creating new DSA public/private host key pair"

　　$KEYGEN -f $KEYDIR/ssh_host_dsa_key -t dsa -N ''

　　fi

　　fi

　　[ -x /usr/local/sbin/sshd ] &&/usr/local/sbin/sshd &

　　;;

　　'stop')

　　if [ -z "$_INIT_RUN_LEVEL" ]; then

　　set -- `/usr/bin/who -r`

　　_INIT_RUN_LEVEL="$7"

　　_INIT_PREV_LEVEL="$9"

　　fi

　　if [ $_INIT_RUN_LEVEL -lt $_INIT_PREV_LEVEL ]; then

　　/usr/bin/pkill -u 0 -x sshd

　　fi

　　if [ -f "$PIDFILE" ]; then

　　/usr/bin/kill -TERM `/usr/bin/cat $PIDFILE`

　　fi

　　;;

　　'restart')

　　if [ -f "$PIDFILE" ]; then

　　/usr/bin/kill -HUP `/usr/bin/cat $PIDFILE

　　fi

　　;;

　　*)

　　echo "Usage: $0 { start | stop }"

　　exit 1

　　;;

　　esac