Openssh安全配置 V1.0知识分享.docVIP

Openssh安全配置 V1.0 精品文档 精品文档 收集于网络，如有侵权请联系管理员删除 收集于网络，如有侵权请联系管理员删除 精品文档 收集于网络，如有侵权请联系管理员删除 Linux系统应用安全 Openssh 北京三零盛安信息系统有限公司 文档控制 项目方案（文档名称） 提交方 北京三零盛安信息系统有限公司 提交日期 2008/ 版本信息 日期 版本 撰写者 审核者 描述 2008/0 1.0 魏郧峰 所有权声明 文档里的资料版权归北京三零盛安信息系统有限公司（以下简称“三零盛安”）所有。未经三零盛安事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了三零盛安的私有信息而遭受法律的制裁。目 录 TOC \o 1-3 \h \z \u 一、 目的 4 二、 软件安装 4 1.1. 版本信息 4 1.2. 删除旧版本 4 1.3. 编译及安装 4 1.4. 修改配置 5 1.5. 增加系统服务 5 三、 FAQ 6 启动sshd 服务的时候提示错误Unsupported option UsePAM？ 6  目的 通过应用软件升级、打补丁，和采用安全配置，增强应用系统自身已保护功能，使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。 本安全配置配置针对Openssh 5.0及后续版本有效。 软件安装 版本信息 Openssh版本：openssh-5.0p1 openssh-5.0p1要求：Zlib的版本在以上，OpenSSL版本在0.9.6以上 下面是Zlib和 OpenSSL的官方地址: /zlib/ / 删除旧版本 删除rpm方式安装的旧版本 # uninstall openssh rpm rpm -e netdump-0.7.4-2.i386 rpm -e openssh-clients-3.9p1-8.RHEL4.1 rpm -e openssh-askpass-gnome-3.9p1-8.RHEL4.1 rpm -e openssh-server-3.9p1-8.RHEL4.1 rpm -e openssh-askpass-3.9p1-8.RHEL4.1 rpm -e openssh-3.9p1-8.RHEL4.1 注，如果是使用软件包直接安装可以直接覆盖。 编译及安装 Zlib编译安装 cd zlib-1.2.3 ./configure make make install Openssh编译安装 cd openssh-5.0p1 ./configure --prefix=/usr \ --with-pam make make install 默认的 ssh将安装在 /usr/local/bin下，sshd装在/usr/local/sbin，sftp-server装在 /usr/local/libexec/sftp-server，配置文件在/usr/locale/etc下。指定prefix参数，则安装路径为/usr/bin和/usr/sbin。 修改配置 1、对比安装默认和当前配置文件，个别重要参数请务必修改 diff sshd_config /etc/ssh.bak/sshd_config 2、配置文件推荐设置 确认/usr/local/libexec/sftp-server路径是否正确 3、检查配置文件的正确性 grep -v ^# /etc/ssh/sshd_config | awk {print $1} | sort | uniq -d 4、检查是否有重复的行和参数是否正确 /usr/local/sbin/sshd -t 增加系统服务 先备份原来的脚本cp /etc/init.d/sshd /etc/init.d/sshd.bak 主要是修改ssh-keygen和sshd的路径。PID文件也作相应修改，避免跟之前的sshd有冲突，这样就能够在保证原有sshd不受影响的情况下配置新的sshd服务。 添加service服务： /sbin/chkconfig --add sshd FAQ 启动sshd 服务的时候提示错误Unsupported option UsePAM？ 默认的configure没有启用--with-pam选项，如果在sshd_config配置文件里加入UsePAM no 就会导致上面的错误提示。UsePAM与ssh密码认证相关，但公司服务器禁止通过密码认证方式登录。所以编译的时候不建议使用--with-pam选项，配置文件里不使用UsePAM no，而改为使用PasswordAuthentication no ChallengeResponseA