科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全增强措施用Openssh构建安全网络

安全增强措施用Openssh构建安全网络

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

下面向大家介绍用Openssh构建安全网络。

作者:51cto 2007年10月14日

关键字: 网络 OpenSSH 构建 安全

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  1. 安装软件包:

  openssh-3.4pl-sol7-sparc-local

  openssl-0.96d-sol7-sparc-local

  zlib-1.1.4-sol7-sparc-local

  prngd-0.0.25-sol7-sparc-local

  egd-0.8-sol7-sparc-local

  

  2. 安装prngd和sshd的启动脚本

  ::::::::::::::

  S98prngd

  ::::::::::::::

  #!/bin/sh

  pid=`/usr/bin/ps -e | /usr/bin/grep prngd | /usr/bin/sed -e 's/^ *//' -e 's/ .*//'`

  case $1 in

  'start')

  /usr/local/sbin/prngd /var/spool/prngd/pool

  ;;

  'stop')

  if [ "${pid}" != "" ]

  then

  /usr/bin/kill ${pid}

  fi

  ;;

  *)

  echo "usage: /etc/init.d/prngd {start|stop}"

  ;;

  esac

  ::::::::::::::

  S98sshd

  ::::::::::::::

  #!/bin/sh

  pid=`/usr/bin/ps -e | /usr/bin/grep sshd | /usr/bin/sed -e 's/^ *//' -e 's/ .*//'`

  case $1 in

  'start')

  /usr/local/sbin/sshd

  ;;

  'stop')

  if [ "${pid}" != "" ]

  then

  /usr/bin/kill ${pid}

  fi

  ;;

  *)

  echo "usage: /etc/init.d/sshd {start|stop}"

  ;;

  esac

  

  3. 用prngd生成伪随机初始种子数

  cat /var/log/syslog /var/adm/messages >/usr/local/etc/prngd/prngd-seed

  mkdir /var/spool/prngd

  /etc/rc2.d/S98prngd start

  

  检查prngd工作是否正常: /usr/local/bin/egc.pl /var/spool/prngd/pool get

  显示如: 9151 bits of entropy in pool

  4. 增加sshd用户

  mkdir /var/empty

  chown root /var/empty

  chgrp sys /var/empty

  chmod 755 /var/empty

  groupadd sshd

  useradd –g sshd –c ‘sshd privsep’ –d /var/empty –s /bin/false sshd

  

  5. 修改tcpd的控制文件/etc/hosts.allow和/etc/hosts.deny

  ALL:n.n.n.n #登录主机IP

  6. 在server端创建主机密钥对

  ssh-keygen –t rsa1 –f /usr/local/etc/ssh_host_key –N “”

  ssh-keygen –t dsa –f /usr/local/etc/ssh_host_dsa_key –N “”

  ssh-keygen –t rsa –f /usr/local/etc/ssh_host_rsa_key –N “”

  启动sshd:

  /etc/rc2.d/S98sshd start

  

  7. 关闭原telnet和ftp服务

  修改/etc/inetd.conf 文件,kill –HUP 关闭telnet和ftp服务

  8. 在客户端做以下测试

  UNIX客户端:

  Ssh [-l username] [-p port] //如果用-v参数,进入调试状态,这是一个很好的帮助工具(取代telnet)

  Sftp [-l username] [-p port] (取代ftp)

  WINDOWS:客户端

  Securecrt 3.4.5 //在session的配置中,authentication使用password方式

  Securefx2.0.3

  以上为默认安装情况,即SSH的密码验证。

  为了保证唯一的一台登录服务器的安全,又不至于在修改sshd配置后重启进程带来无法登录管理的问题,继续使用telnet和ftp服务,结合采用SSHD的密钥验证方式,并且在/etc/hosts.allow文件中做以下设置:

  ################# internal network ######################

  ALL:n.n.n.n #operator1

  ALL:n.n.n.n #operator2

  ################## out network ###########################

  sshd: ALL #RSA auth

  

  这样,管理员在公司的固定IP地址仍旧可以很方便地登录到主机上操作,而如果在家中或外出出差,由于IP地址是非固定的,可以通过sshd的密钥验证来进行登录。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章