Openssh安全配置 V

1、Linux系统应用安全Openssh北京三零盛安信息系统有限公司文档控制项目方案（文档名称）提交方北京三零盛安信息系统有限公司提交日期2008/07/09版本信息日期版本撰写者审核者描述2008/07/091.0魏郧峰所有权声明文档里的资料版权归北京三零盛安信息系统有限公司（以下简称“三零盛安”）所有。未经三零盛安事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了三零盛安的私有信息而遭受法律的制裁。目 录一、目的4二、软件安装41.1.版本信息41.2.删除旧版本41.3.编译及安装41.4.修改配置51.5.增加系统服务5三、FAQ6启动sshd

2、服务的时候提示错误Unsupported option UsePAM？6一、 目的通过应用软件升级、打补丁，和采用安全配置，增强应用系统自身已保护功能，使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。本安全配置配置针对Openssh 5.0及后续版本有效。二、 软件安装1.1. 版本信息Openssh版本：openssh-5.0p1openssh-5.0p1要求：Zlib的版本在.2以上，OpenSSL版本在0.9.6以上下面是Zlib和 OpenSSL的官方地址:http1.2. 删除旧版本删除rpm方式安装的旧版本# uninstall openssh rpmrpm -e netdu

3、mp-2.i386rpm -e opens注，如果是使用软件包直接安装可以直接覆盖。1.3. 编译及安装Zlib编译安装cd zlib-./configuremakemake installOpenssh编译安装cd openssh-5.0p1./configure -prefix=/usr -with-pammakemake install默认的 ssh将安装在 /usr/local/bin下，sshd装在/usr/local/sbin，sftp-server装在 /usr/local/libexec/sftp-server，配置文件在/usr/locale/etc下。指定prefix参数，

4、则安装路径为/usr/bin和/usr/sbin。1.4. 修改配置1、对比安装默认和当前配置文件，个别重要参数请务必修改diff sshd_config /etc/ssh.bak/sshd_config2、配置文件推荐设置确认/usr/local/libexec/sftp-server路径是否正确3、检查配置文件的正确性grep -v # /etc/ssh/sshd_config | awk 'print $1' | sort | uniq -d4、检查是否有重复的行和参数是否正确/usr/local/sbin/sshd -t 1.5. 增加系统服务先备份原来的脚本cp /e

5、tc/init.d/sshd /etc/init.d/sshd.bak主要是修改ssh-keygen和sshd的路径。PID文件也作相应修改，避免跟之前的sshd有冲突，这样就能够在保证原有sshd不受影响的情况下配置新的sshd服务。添加service服务：/sbin/chkconfig -add sshd三、 FAQ启动sshd 服务的时候提示错误Unsupported option UsePAM？默认的configure没有启用-with-pam选项，如果在sshd_config配置文件里加入UsePAM no 就会导致上面的错误提示。UsePAM与ssh密码认证相关，但公司服务器禁止通过密码认证方式登录。所以编译的时候不建议使用-with-pam选项，配置文件里不使用UsePA