安全增强措施用Openssh构建安全网络

　　1. 安装软件包:

　　openssh-3.4pl-sol7-sparc-local

　　openssl-0.96d-sol7-sparc-local

　　zlib-1.1.4-sol7-sparc-local

　　prngd-0.0.25-sol7-sparc-local

　　egd-0.8-sol7-sparc-local

　　2. 安装prngd和sshd的启动脚本

　　::::::::::::::

　　S98prngd

　　::::::::::::::

　　#!/bin/sh

　　pid=`/usr/bin/ps -e | /usr/bin/grep prngd | /usr/bin/sed -e 's/^ *//' -e 's/ .*//'`

　　case $1 in

　　'start')

　　/usr/local/sbin/prngd /var/spool/prngd/pool

　　;;

　　'stop')

　　if [ "${pid}" != "" ]

　　then

　　/usr/bin/kill ${pid}

　　fi

　　;;

　　*)

　　echo "usage: /etc/init.d/prngd {start|stop}"

　　;;

　　esac

　　::::::::::::::

　　S98sshd

　　::::::::::::::

　　#!/bin/sh

　　pid=`/usr/bin/ps -e | /usr/bin/grep sshd | /usr/bin/sed -e 's/^ *//' -e 's/ .*//'`

　　case $1 in

　　'start')

　　/usr/local/sbin/sshd

　　;;

　　'stop')

　　if [ "${pid}" != "" ]

　　then

　　/usr/bin/kill ${pid}

　　fi

　　;;

　　*)

　　echo "usage: /etc/init.d/sshd {start|stop}"

　　;;

　　esac

　　3. 用prngd生成伪随机初始种子数

　　cat /var/log/syslog /var/adm/messages >/usr/local/etc/prngd/prngd-seed

　　mkdir /var/spool/prngd

　　/etc/rc2.d/S98prngd start

　　检查prngd工作是否正常: /usr/local/bin/egc.pl /var/spool/prngd/pool get

　　显示如: 9151 bits of entropy in pool

　　4. 增加sshd用户

　　mkdir /var/empty

　　chown root /var/empty

　　chgrp sys /var/empty

　　chmod 755 /var/empty

　　groupadd sshd

　　useradd –g sshd –c ‘sshd privsep’ –d /var/empty –s /bin/false sshd

　　5. 修改tcpd的控制文件/etc/hosts.allow和/etc/hosts.deny

　　ALL:n.n.n.n #登录主机IP

　　6. 在server端创建主机密钥对

　　ssh-keygen –t rsa1 –f /usr/local/etc/ssh_host_key –N “”

　　ssh-keygen –t dsa –f /usr/local/etc/ssh_host_dsa_key –N “”

　　ssh-keygen –t rsa –f /usr/local/etc/ssh_host_rsa_key –N “”

　　启动sshd:

　　/etc/rc2.d/S98sshd start

　　7. 关闭原telnet和ftp服务

　　修改/etc/inetd.conf 文件，kill –HUP 关闭telnet和ftp服务

　　8. 在客户端做以下测试

　　UNIX客户端:

　　Ssh [-l username] [-p port] //如果用-v参数，进入调试状态，这是一个很好的帮助工具（取代telnet）

　　Sftp [-l username] [-p port] （取代ftp）

　　WINDOWS:客户端

　　Securecrt 3.4.5 //在session的配置中，authentication使用password方式

　　Securefx2.0.3

　　以上为默认安装情况，即SSH的密码验证。

　　为了保证唯一的一台登录服务器的安全，又不至于在修改sshd配置后重启进程带来无法登录管理的问题，继续使用telnet和ftp服务，结合采用SSHD的密钥验证方式，并且在/etc/hosts.allow文件中做以下设置：

　　################# internal network ######################

　　ALL:n.n.n.n #operator1

　　ALL:n.n.n.n #operator2

　　################## out network ###########################

　　sshd: ALL #RSA auth

　　这样，管理员在公司的固定IP地址仍旧可以很方便地登录到主机上操作，而如果在家中或外出出差，由于IP地址是非固定的，可以通过sshd的密钥验证来进行登录。