[ новости /+++ | форум | теги | ]

Каталог документации / Раздел "Безопасность" (Архив | Для печати)

Собираем OpenSSH и OpenSSL

Автор: Андрей Лаврентьев (lavr@unix1.jinr.ru), http://unix1.jinr.ru/~lavr/

Sources of distribution: openssh, openssl, rsaref, random packages for Solaris

Важное: Для невнимательных, в OS отличные от OpenBSD, необходимо скачивать и устанавливать portable версии OpenSSH, П-О-Р-Т-И-Р-О-В-А-Н-Н-Ы-Й OpenSSH.

• Файл контрольных сумм md5 всех указанных здесь sources
• openssl-0.9.6b.tar.gz
• openssh-3.0.2p1.tar.gz, ssh-askpass отсутствует в дистрибутивах OpenSSH updated
  • openssh-3.0.1p1.tar.gz previous version
  • openssh-3.0p1.tar.gz previous version
• OpenSSH-askpass-1.2.2.2001.02.24.tar.gz

  Примечание:

  • Патч к OpenSSH-askpass/Imakefile для Solaris, если вы используете родные make и awk
  • Патч к OpenSSH-askpass/Imakefile для Solaris, если у вас в системе установлен gawk

  Драйвера рандомизационных устройств OS Solaris:

• Driver /dev/random for Sparc/Solaris 5.5[1]
• Driver /dev/random for Sparc/Solaris 5.6
• Driver /dev/random for Sparc/Solaris 5.7
• Driver /dev/random for Sparc/Solaris 5.8
• Driver /dev/random for Solaris-x86 5.5[6,7,8]

  Проекты для эмуляции устройств рандомизации:

• EGD
• PRNGD

Для тех кто желает собрать OpenSSH с библиотекой RSAref, на самом деле, необходимости в ней нет, поскольку OpenSSL имеет собственную реализацию RSA:

• International RSAref library
• Security patch for RSAref library

Устанавливаем OpenSSH:

1. Проверяем установлены ли dependence, зависимые библиотеки: OpenSSL, ZLib.

   OpenSSH 2.9p2 или 3.01p требует уже установленных в системе библиотек:

   • ZLib - желательно версии 1.1.3
   • OpenSSL - версии не ниже 9.5a

   Если указанные библиотеки установлены, можно перейти к установке OpenSSH, иначе, необходимо собрать перечисленные библиотеки. Для проверки наличия библиотек, в системах FreeBSD/Linux/NetBSD/OpenBSD, воспольуйтесь командой ldconfig, man ldconfig.
   Например (Linux):

   ldconfig -p | grep ssl
   ldconfig -p | grep libz
   ...
   
   Например (FreeBSD):
   
   ldconfig -r | grep ssl
   ...
   
   Например (Solaris):
   
   echo $LD_LIBARARY_PATH
   echo $LD_RUN_PATH
   

   и в соответствии с указанным маршрутом библиотек, использовать команды:

   ls -la /path/lib | grep ssl
   ...
   или
   
   find /path -name "libssl*" -print
   

   Устанавливаем библиотеки ZLib и OpenSSL:
   • Zlib - собрать по желанию динамическую или статическую
   • OpenSSL - собрать по желанию динамическую или статическую.

     Примечание: для Solaris/Sparc 5.5[1] и 5.6 советуют собирать OpenSSL статически из-за ошибок связанных с библиотекой crypto. Не забудьте добавить путь к библиотекам OpenSSL в LD_LIBRARY_PATH/LD_RUN_PATH, для последующей сборки и работы OpenSSH.

     Важное: для тех кто хочет собрать OpenSSL и OpenSSH с библиотекой rsaref2, это не нужный спорт, но если уж решили, то примените патч и укажите в LIBS библиотеки необходимые для сборки OpenSSL - rsaref и для OpenSSH дополнительно RSAglue(эту взять от прежде собранного OpenSSL с поддержкой rsaref). При сборке OpenSSH с rsaref не забудьте исправить порядок следования библиотек в Makefile: LDFLAGS=-L. -lssh -Lopenbsd-compat/ -lopenbsd-compat -R/usr/local/ssl/lib -L/usr /local/ssl/lib -lcrypto -lRSAglue -lrsaref -L/usr/local/lib -R/usr/local/lib и далее при сборке утилит.

2. Устанавливаем OpenSSH: Советы очень простые, желательно использовать оптимизацию и свои, возможно, не тривиальные ключи компиляторов gcc/egcs/pgcc/cc. Строго использовать ключи: --disable-suid-ssh --without-rsh --with-pam (если ваша OS поддерживает PAM и вы хотите задействовать поддержку) и помнить что опция --libexecdir=/path - задает путь к месторасположению ssh-askpass

   В ряде систем, отсутствуют драйвера и устройства рандомизации:

   • /dev/random
   • /dev/urandom
   Для их эмуляции можно воспользоваться проектами EGD или PRNGD.
   Для OS Solaris, воспользоваться драйвером random, дистрибутивы ANDIrand указаны выше или EGD, PRNGD.
   Для OS FreeBSD использовать /usr/ports/security/openssh-portable.
   Для OS Linux использовать rpm/srpm или собрать самостоятельно.

   Примечание: Если у вас возникли проблемы на этапе линковки в коммерческих non-intel платформах, ищите правильный порядок следования библиотек -lname и правьте Makefile.
   Дело в том что ни один грамотный администратор, не будет устанавливать на non-intel платформу gcc с его линкером, гнутые ld просто не работают!
   А родные линкеры очень умные и щепетильные в плане построения компилятора и линковщика.
   Позже я добавлю тонкости установки OpenSSH на платформы ConvexOS(что-то типа bsd-43, по-русски глюкало), SPP HP-UX(ядро mach с эмуляцией OS HP-UX - по-русски глюкало), HP-UX.

3. Устанавливаем OpenSSH-AskPass: Никаких особых тонкостей нет, за исключением использования функции substr|sub в awk/gawk, в оригинальном варианте, в качестве имени функции используется sub - справедливо для гнусного awk(gawk), в коммерческих системах, в awk эта функция называется substr. Патч прилагается выше, как и все необходимые distribution sources.

Генерация новых или недостающих личных и публичных ключей (private/public) для SSH-1(rsa) и для SSH-2(rsa/dsa).

1. Проверяем есть ли у нас на рабочей машине директория $HOME/.ssh и ее содержимое:

   [unix1]~ > ls -la .ssh
   ls: .ssh: No such file or directory
   [unix1]~ > 
   

   В данном примере, у нас нет такой директории и соответственно нет личных и публичных ключей, на рабочей(клиентской машине) они должны быть, ниже будет пример генерации ключей.

   [unix1]~ > ls -la .ssh
   total 67
   drwxr-xr-x   2 lavr  dug    512 19 ноя 15:40 .
   drwxr-xr-x  71 lavr  dug   7680 22 ноя 15:37 ..
   -rw-r--r--   1 lavr  dug   1475 20 ноя 15:13 config
   -rw-------   1 lavr  dug    537  5 июл  2000 identity
   -rw-r--r--   1 lavr  dug    678 29 янв  2001 identity.pub
   -rw-r--r--   1 lavr  dug  31270 22 ноя 13:40 known_hosts
   

   В данном примере, у нас есть директория .ssh и все необходимые ключи для SSH1: identity - личный, identity.pub - публичный. Но отсутствуют ключи RSA/DSA для SSH2, их необходимо создать.

2. Генерация личных и публичных ключей:
   1. Если у нас не созданы ключи для SSH-1, создаем их командой ssh-keygen:

      [unix1]~ > ssh-keygen
      Generating public/private rsa1 key pair.
      Enter file in which to save the key (/home/lavr/.ssh/identity): 
      Created directory '/home/lavr/.ssh'.
      Enter passphrase (empty for no passphrase): 
      Enter same passphrase again: 
      Your identification has been saved in /home/lavr/.ssh/identity.
      Your public key has been saved in /home/lavr/.ssh/identity.pub.
      The key fingerprint is:
      6e:28:9e:21:e7:08:60:05:d0:30:fe:9c:b4:c3:19:f7 lavr@unix1.jinr.ru
      [unix1]~ >
      

   2. Если у нас не созданы ключи для SSH-2, создаем их командой ssh-keygen с параметрами rsa и dsa:

      Генерация RSA ключей для SSH-2:

      [unix1]~ > ssh-keygen -t rsa
      Generating public/private rsa key pair.
      Enter file in which to save the key (/home/lavr/.ssh/id_rsa): 
      Enter passphrase (empty for no passphrase): 
      Enter same passphrase again: 
      Your identification has been saved in /home/lavr/.ssh/id_rsa.
      Your public key has been saved in /home/lavr/.ssh/id_rsa.pub.
      The key fingerprint is:
      04:b0:65:aa:dc:c0:e4:23:c2:1c:3a:cb:27:d4:5b:b3 lavr@unix1.jinr.ru
      [unix1]~ > 
      

      Генерация DSA ключей для SSH-2:

      [unix1]~ > ssh-keygen -t dsa
      Generating public/private dsa key pair.
      Enter file in which to save the key (/home/lavr/.ssh/id_dsa):
      Enter passphrase (empty for no passphrase):
      Enter same passphrase again:
      Your identification has been saved in /home/lavr/.ssh/id_dsa.
      Your public key has been saved in /home/lavr/.ssh/id_dsa.pub.
      The key fingerprint is:
      f3:c7:9b:ad:32:08:c1:d0:8f:2b:ef:ec:f1:77:04:d9 lavr@unix1.jinr.ru
      

   Примечание: passphrase при генерации не отображается на экране, следует различать личные rsa ключи для протокола SSH-1 - identity, для SSH-2 - id_rsa и публичные соответственно.

Использование SSH-2 для работы с машинами под управлением SSH-1:

Все что необходимо, это добавить опцию -1 при использовании команд:

slogin,ssh, для scp указывать опцию -oProtocol=1

Примеры:

[unix1]~ > slogin -1 cv
Enter passphrase for RSA key '/home/lavr/.ssh/identity': 
No mail.
No new messages.
cv:/local2/home/lavr> 

Примеры файлов конфигураций(SSH2):

• Файл конфигурации сервера OpenSSH/sshd
• Файл конфигурации клиента OpenSSH/ssh

На своей рабочей станции, я люблю запускать X11 через ssh-agent чтобы затем работать со всеми удаленными машинами с sshd, используя авторизацию через публичные ключи: rsa и/или dsa. Для этого необходимо изменить xinitrc или $HOME/.xinitrc и startx:

• в xinitrc добавляем ssh-add который добавит наши ключи в память через вызов ssh-askpass который в самом начале сеанса потребует ввести passphrase, с помощью которой зашифрованы наши личные-private ключи
• после чего в startx добавляем запуск XServer'а через ssh-agent

Теперь достаточно добавить свои публичные ключи, содержимое файлов:

old_rsa(ssh1) - $HOME/.ssh/identity.pub в файл remotehost:$HOME/.ssh/authorized_keys
rsa(ssh2)     - $HOME/.ssh/id_rsa.pub в файл remotehost:$HOME/.ssh/authorized_keys2
dsa(ssh2)     - $HOME/.ssh/id_dsa.pub в файл remotehost:$HOME/.ssh/authorized_keys2

chmod 755 $HOME/.ssh (или даже 700)
chmod 600 $HOME/.ssh/authorized_keys
chmod 600 $HOME/.ssh/authorized_keys2

SSH для Windows:

Clients:

• Free/Windows TeraTerm с поддержкой SSH (protocol 1/1.5)

  поддерживает:

  • протоколы SSH 1/1.5
  • поддерживается порт-форвардинг
  • RSA ключи, сгенеренные ssh-keygen (последняя утилита не входит в пакет)
  • front-end интерфейс
  • command-line интерфейс
  • scp отсутствует
  • sftp отсутствует
  • документация - скудная
• Free/Windows Telnet/SSH client

  поддерживает:

  • протоколы SSH 1/2
  • RSA ключи, сгенеренные ssh-keygen (последняя утилита не входит в пакет)
  • поддерживается порт-форвардинг
  • поддерживается X11-форвардинг
  • front-end интерфейс
  • command-line интерфейс - plink
  • поддерживается scp, утилита pscp, имеется front-end
  • поддерживается генератор ключей - puttygen(ssh-keygen)
  • поддерживается ssh-agent - pageant, включающий в себя реализацию ssh-add
  • sftp реализован
  • документация - замечательная
• Only command-line interface

  поддерживает:

  • протокол SSH1
  • command-line интерфейс
  • ssh/scp - полный пакет дистрибутива ssh-1.2.14
• самый первый порт SSH1 для Windows (1.2.26 - последняя реализация)

• порт OpenSSH 2.2.0/Win32

  поддерживает:

  • command-line интерфейс только
  • scp отсутствует

SCP for Windows:

• Front-end WinSCP

SFTP for Windows:

• SFTP for Windows

Client-Server для OS Windows:

• полная, актуальная реализация OpenSSH для Windows (на базе Cygwin)
  • клиент-сервер, полная реализация OpenSSH
  • необходимый набор cygwin включаен в дистрибутив
  • только command-line интерфейс
  • X-Forwarding

Вариации SSH & SSHD for Windows на базе Cygwin:

• Cygwin GNU software for Windows
• Unix Tools for Windows на базе Cygwin/Сергей Охапкин
• SSH on NT
• SSH for Windows
• SSH and NT

Коммерческие продукты для OS Windows:

• Сам Secure Shell/Коммерческий
• F-Secure (клиент, сервер)
• SSH/Telnet клиент (известен как telneat)
• полный спектр (SecureCRT)
• STelnet клиент

Some links and resources:

• SSH Book

Ссылки на месторасположения где находятся оригиналы:

• OpenSSH Home Page
• X11-AskPass Home Page
• OpenSSL Home Page
• ZLib Home Page
• EGD Home Page
• PRNGD Home Page
• ANDIrand Home Page
• PAM Home Page(Linux and other OSs)
• PAM Home Page/Solaris
• About PAM
• S/Key Libraries

Ссылки на руководства SSH/OpenSSH

Русскоязычные:

• Перевод SSH FAQ
• Перевод OpenSSH FAQ
• Руководство по использованию и настройке SSH

Оригиналы in english:

• Ссылки на реализации Free-SSH под разные платформы и другие полезные ресурсы
• OpenSSH FAQ
• SSH(Commercial/DataFellows) FAQ
• SSH FAQ/comp.security.ssh
• Old SSH FAQ/comp.security.unix
• Tutorial SSH

Списки рассылок:

• OpenSSH Developers Mail-List Archive
• SSH Users Mail-List Archive
• SSH Mail-List Archive

Партнёры:

Хостинг: