OpenSSH 的新身份验证方法

　　简介

　　OpenSSH 是一种实现 SSH1 和 SSH2 协议的免费工具。它是一种安全可靠的工具，常常用来替代 r-commands。通过 ssh 会话的通信是加密的，它会加密所有通信流，包括密码。

　　本文描述如何配置基于主机的和 PAM 身份验证方法，以及在 IBM 支持的 OpenSSH 版本中新增的一些特性和配置选项。IBM 支持的 OpenSSH 版本的下载链接见 参考资料。

　　要想安装 OpenSSH，必须先安装 OpenSSL。现在可以获得 installp 映像格式的 OpenSSL；下载信息见 参考资料。

　　SSH 中基于主机的身份验证

　　当可信主机上的用户希望登录远程计算机（可以是不可信的系统）时，使用 SSH 中基于主机的身份验证。这种方法不需要密码。通过使用以下配置设置，可信主机上的用户就可以登录远程计算机，不需要提供密码。

　　在客户机和服务器端启用以下配置选项。

　　在客户机上的 /etc/ssh/ssh_config 文件中，做以下修改：
HostbasedAuthentication　yes　
EnableSSHKeysign　yes　
　　　

　　在服务器端的 /etc/ssh/sshd_config 文件中，做以下修改：
HostbasedAuthentication　yes　
IgnoreRhosts　no　
　　　

　　执行以下操作之一：

　　如果作为根用户在服务器上登录，那么在 /.rhosts 或 /.shosts 文件中输入主机。

　　如果作为非根用户在服务器上登录，那么在 /etc/hosts.equiv 文件中输入主机。

　　设置项的格式如下：
　　　
　　　　　　　　

　　如果希望作为根用户在服务器上登录，那么运行 ssh root@< server host name >，服务器会在 /.rhosts 或 /.shosts 文件中检查客户机用户名和客户机主机名，只在找到正确的用户名和主机名的情况下，才允许登录。

　　如果希望作为非根用户在服务器上登录，那么运行 ssh non-root@，服务器会在 /etc/hosts.equiv 文件中检查客户机用户名和客户机主机名，并允许用户登录。

　　在作为非根用户登录时，应该在客户机上把公共密钥复制到 /etc/ssh/ssh_known_hosts 或 /etc/ssh/ssh_known_hosts2 文件中。这个文件的格式应该与 ~/. ssh/known_hosts 文件相同。公共密钥前面应该加上 , 。

　　修改 sshd_config 文件中的配置选项之后，停止并重新启动 ssh 守护进程 (sshd)：
#stopsrc　–s　sshd　
0513-044　The　sshd　Subsystem　was　requested　to　stop.　
　
#startsrc　–s　sshd　
0513-059　The　sshd　Subsystem　has　been　started.　Subsystem　PID　is　417812　

　　完成这些设置之后，就应该能够登录到远程计算机，系统不会提示输入密码。

　　OpenSSH 中的 PAM 支持

　　要想在 OpenSSH 中启用 PAM 身份验证，应该运行以下配置命令：

#　lssec　-f　/etc/security/login.cfg　-s　usw　-a　auth_type　
usw　auth_type=STD_AUTH　
　　　

　　如果代码是 auth_type = STD_AUTH，那么使用以下命令把它改为 PAM_AUTH：
#　chsec　-f　/etc/security/login.cfg　-s　usw　-a　auth_type=PAM_AUTH　
　　　　　

　　在 /etc/pam.conf 文件中添加以下设置：

　　在 authentication 部分中：
sshd　　auth　　required　　　　/usr/lib/security/pam_aix　
　　　

　　在 account management 部分中：
sshd　　account　　required　　　　/usr/lib/security/pam_aix　
　　　　　

　　在 password management 部分中：
sshd　　password　　required　　　　/usr/lib/security/pam_aix　
　　　　　

　　在 session management 部分中：
sshd　　session　required　　　　/usr/lib/security/pam_aix　

　　完成这些设置之后，运行 ssh 命令以使用 PAM 身份验证。

　　SSH 中的新特性

　　下面是 IBM 支持的 OpenSSH 版本中新增的一些特性和配置选项。

　　SSH 和 EFS

　　与用户和组相关联的私有密钥存储在 EFS 密钥存储中，由一个密钥存储密码保护。当用户登录一台启用 EFS 的计算机时，如果用户密码和密钥存储密码是相同的，登录进程就打开 EFS 密钥存储并把密钥存储中的密钥装载到内核中。当以后进程需要读写受 EFS 保护的文件时，使用这些密钥。

　　在使用 SSH 的开放源码版本 (OpenSSH) 时，登录进程无法打开 EFS 密钥存储并把密钥装载到内核中。这是因为 SSH 会产生两个进程，一个用于身份验证，另一个用于创建会话。对于要装载的 EFS 密钥存储，必须由单一进程创建密钥存储并把这些密钥与进程凭证绑定。对于 SSH，两个不同的进程执行这个过程，因此无法装载密钥存储。

　　在 IBM 支持的 OpenSSH 版本中已经纠正了这个问题。openssh-4.5p1 支持打开密钥存储并把密钥自动地装载到内核中，从而避免密码身份验证，让登录进程能够读写受 EFS 保护的文件（只要登录密码和 EFS 密钥存储密码是相同的）。

　　新的 sshd_config 选项

　　ChkHomeDir

　　这个选项是在之前的 openssh-4.5p1（IBM 支持的版本）中增加的。它是 sshd_config 文件中的一个选项。在默认情况下，它设置为 "No"。在启用时，设置为 "Yes"，它会检查用户的主目录是否存在。如果用户的主目录不存在，它就退出，不允许用户登录。如果系统管理员希望限制主目录不存在的用户访问系统，就可以使用这个选项。

　　FrcpasswdPolicies

　　这个配置选项包含在 IBM 支持的 OpenSSH-4.5p1 版本的 sshd_config 文件中。在默认情况下，它设置为 "No"。在设置为 "Yes" 时，在允许用户登录之前，它检查用户的密码是否已经过期。如果用户的密码已经过期，它提示用户修改密码，在成功地修改密码之后，允许用户登录。否则，登录失败。即使用户采用公共密钥或基于主机的身份验证，也会执行这个密码检查。这在登录之前确保用户是得到授权的。

　　AllowFiles/DenyFiles

　　这个选项是在 IBM 支持的 OpenSSH-4.7p1 版本的 sshd_config 文件中添加的。这个选项是 SFTP 专用的，SFTP 是一种安全的 FTP，用于在本地和远程计算机之间复制文件。通过使用这些设置，用户可以控制对要复制的文件、源目录和目标目录的访问。

#p#副标题#e#

　　如以下示例所示，可以在 sshd_config 文件中指定文件名。

　　在 sshd_config 文件中，添加以下代码行并保存文件：
AllowFiles　":/tmp/*"　

　　如果 SSH 守护进程正在运行，那么运行以下命令停止和启动服务器：
#　stopsrc　-s　sshd　
0513-044　The　sshd　Subsystem　was　requested　to　stop.　
　
#　startsrc　-s　sshd　
0513-059　The　sshd　Subsystem　has　been　started.　Subsystem　PID　is　11160.　

　　从客户机运行以下 SFTP 命令：
#　sftp　jyo@aixcomm.in.ibm.com　
Connecting　to　aixcomm.in.ibm.com...　
jyo@aixcomm.in.ibm.com's　password:　
sftp>　cd　/usr　
Couldn't　stat　remote　file:　Permission　denied　
sftp>　

　　在前面的示例中，在登录之后，"jyo" 试图修改 /usr 目录。但是，sshd_config 文件中用户 jyo 的 AllowFiles 选项设置为 "jyo:/tmp/*"，因此不允许用户 "jyo" 修改除了 /tmp 目录中的文件之外的任何其他文件。

　　DenyFiles 选项拒绝对指定目录中文件的访问；sshd_config 文件中的 DenyFiles 选项允许访问其他文件。

　　AllowFiles 和 DenyFiles 选项用以下语法指定文件和目录名：

　:　　

　　chroot 目录修改

　　可以通过 IBM developerWorks 文章 openssh with AIX chroot 了解 IBM 支持的 OpenSSH 版本中的 chroot 特性。这篇文章的链接见 参考资料。

　　从 OpenSSH-5.0p1 开始，在 chroot 环境设置方面有一个修改。sshd_config 文件中增加了一个新的配置选项 ChrootDirectory，它指定身份验证之后 chroot 的路径。

　　设置 chroot 环境的过程仍然与 developerWorks 文章 openssh with AIX chroot 中介绍的过程相同，但是 "Creating chroot user and finalizing installation" 一节除外（见 参考资料）。对于 OpenSSH-5.0p1 版本，可以跳过这一节。另外，要确保 chroot 目录中的 tmp 目录的权限是 777。

　　需要在 chroot 环境中创建用户的主目录，chroot 目录的所有者应该是根用户。

　　例如，假设以 /chroot 作为 chroot 目录，sshd_config 文件中的设置应该是：

ChrootDirectory　/chroot　
　　　　　　　

　　/chroot 目录的权限应该是：

#chown　root:system　/chroot　
　　　　　　　

　　假设要在 chroot 环境中作为用户 "jyoti" 登录。必须在 /chroot 中手工创建用户的主目录 "/home/jyoti"。

#cd　/chroot　
　
#　ls　
bin　　dev　　etc　　home　lib　　tmp　　unix　usr　
　
#cd　home　
#mkdir　jyoti

　　为了在 chroot 环境中运行 SFTP，要在 sshd_config 文件中设置 Subsystem 配置选项，如下所示：