AIX_SSH配置手册

1、SSH配置的完整文档前言使用OpenSSH的理由每天使用的标准网络服务(FTP、Telnet、RCP、rsh等)在关闭的环境中工作正常，但使用这些服务在网络上传输的信息没有加密。 任何人都可以在网络或远程计算机上使用数据包嗅探来显示交换的信息，也可以显示密码信息。此外，如果使用了所有这些服务，则登录过程将会变得更不安全，因为登录时自动登录的选项受到限制，并且通常依赖于在命令行中嵌入纯文本密码来执行语句。所开发的安全shell (ssh )协议可以排除这些限制。 SSH提供整个通信通道的加密，包括登录和密码凭据的交换，并使用公钥和私钥提供登录的自动认证。 也可以使用SSH作为基本传输协议。 以这

2、种方式使用SSH意味着在打开安全连接后，加密通道可以交换所有类型的信息，HTTP和SMTP也可以使用此方法来安全通信机制。OpenSSH是SSH 1和SSH 2协议的免费实施。 最初作为openbsd (berkeleysoftwaredistribution )操作系统的一部分而开发，现在作为UNIX和Linux等通用的解决方案而公开。安装OpenSSHOpenSSH是免费的软件，可以从OpenSSH的网站下载(参见参考资料)。 OpenSSH系统可以使用各种系统源代码构建，包括Linux、HP-UX、AIX、Solaris和Mac OS X。 通常，您会找到选定平台和版本的已编译二进制代码

3、。 有些供应商提供OpenSSH套件作为操作系统的一部分。为了构建OpenSSH，您需要c编译器(如GNU C编译器(gcc ) )zlib-压缩库OpenSSL -安全套接字层(SSL )安全库注意：要在AIX上安装SSH，必须安装并支持OpenSSL。 否则，安装将失败，并显示错误消息，需要安装OpenSSLOpenSSL可以访问和下载IBM主页，SSH软件可以https:/SourceF /项目/show文件. PHP？ group_id=127997下载。环境说明实验环境机器为： M85，p60系统版本均为AIX 5.3根据系统版本下载OpenSSL和OpenSSH版本

4、OpenSSL : OpenSSL-0.9.7 l-2.AIX 5.1.PPC.rpmOpenSSH : OpenSSH-4.3p2- R2.tar.z软件的安装安装步骤是先安装OpenSSL，然后再安装OpenSSHOpenSSL :将OpenSSL-0.9.7 l-2.AIX 5.1.PPC.rpm软件包ftp在/tmp/ssh下。 使用smitty安装程序进行安装。 参见下面的图：将OpenSSH : OpenSSH-4.3p2- R2.tar.z软件包ftp到/tmp/ssh，然后使用命令： zcat OpenSSH-4.3p2- R2.tar.z|tar-xvf -解开包裹smitt

5、y安装程序注意如果要单独安装许可证，然后安装base包，请选择“ACCEPT new license agreements”为“是”下述图：SSH的构成软件安装完成后，可以确认lssrc -s sshd上是否启动了ssh守护程序。 安装ssh软件后，自动启动。 如果未启动，请使用startsrc -s sshd启动软件安装完成后，/etc将生成一个名为ssh的目录修改sshd_config文件，不需要提供密码来在后续两台设备之间进行相互访问。 修正的内容如红色，vi sshd_config注释掉开头的#号码，使之有效即可。在AIX6105SP5发行版中，必须在/etc/ssh/sshd_con

6、fig中将. ssh/authorized_keys更改为/.ssh/authorized_keys。 如果不进行更改，系统重新启动后将无法启动sshd进程。在更改配置文件之前，stopsrc -s sshd停止sshd，并在更改完成后启动startsrc -s sshd调试命令：/usr/sbin/sshd -ddd版本显示： ssh -V使用命令：ssh-keygen生成key如果选择了所有缺省值，生成的私有密钥和公共密钥将保存在/.ssh目录中。 请参照下图为了便于在注意：后进行访问，passphrase行的密码通常设置为空把两台机器的公共密钥互相交给对方。 有几种方法： ftp、rcp

7、和scp。 这里用rcp传输，也可以用scp传输。 虽然有点麻烦，但是ssh没有配置，请不要使用scp。如果rcp中显示“永久被拒绝”，请参见./rhosts文件。 是：主机用户的形式。 示例：bus SVR 01根PMIS SVR 01根同样，在另一台计算机上将本地pub key传递给对方。 将名称更改为本地机器名称的方法。 与本地pub key区分开来可以看到对方的pub key已被转发因为sshd_config文件如上所述修改了，所以其中一个行为被修改了authorizdkeysfile.ssh/authorized _ keys读取文件以进行认证的位置我们用默认的方法触摸通过/.ssh

8、批准的_keys文件将传输来的对方主机的pub key内容追加到authorized_keys文件中，如果多个主机建立了ssh信赖机制，则连续追加即可。如图所示，追加成功.开始相互访问第一次访问时，系统询问是否确认访问，并输入yes在第二次访问中，提示没有改变。 请参见下面的图：然后，访问的hosts会自动在默认的/.ssh目录中生成known_hosts文件。 此文件包含ssh目标主机的ip地址、公钥和密码信息。ssh密码问题即使grid信任配置完成，ssh nodenamedate也必须输入密码。 解决步骤如下：1 )在/etc/ssh/sshd_config配置文件中以以下格式打开ssh

9、的调试信息记录SyslogFacilityAUTH日志级别调试。2 )停止ssh进程： stopsrc -s sshd3)ssh进程的开始： startsrc -s sshd使用/usr/sbin/sshd -ddd调试时，会显示ssh进程的参数设置，并确认ssh的auth日志参数的配置#/usr/sbin/sshd -ddd5 )在5)syslog守护进程的配置文件/etc/syslog.conf文件中，将auth级别设置为调试，在/var/log/secure文件中包含信息，确认文件存在。 /etc/syslog.conf添加以下条目auth.debug/var/log/secure然后刷

10、新- s sshd以上的步骤由root在节点1和节点2两者上执行。在节点1节点上通过网格用户运行ssh-vvv节点2，并在节点2节点上查看安全日志文件$tail -f /var/log/secure无法打开文件内容提示/.ssh /授权_ keys。 grid可能使用的是root上的authorized_keys文件认证，而不是/home/grid/. ssh/authorized _ keys文件7 )超级用户登录到节点2并更改超级用户的. ssh目录权限#chmod 755 /.ssh# chmod 644/. ssh /授权_ keys8 )节点2将网格用户下的authorized_keys文件的内容导入到根用户下的/.ssh/authorized_keys中cat/home/grid/. ssh /授权_ keys/. ssh /授权_