OpenSSH-5.9p1
Installation d'OpenSSH
OpenSSH lance pas moins de deux
processus en se connectant à d'autres ordinateurs. Le premier
processus est un processus privilégié et il contrôle comme il faut
l'émission de privilèges. Le deuxième processus communique avec le
réseau. Des étapes d'installation supplémentaires sont nécessaires
pour paramétrer le bon environnement, effectuées en lançant les
commandes suivantes en tant qu'utilisateur root
:
install -v -m700 -d /var/lib/sshd &&
chown -v root:sys /var/lib/sshd &&
groupadd -g 50 sshd &&
useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd \
-s /bin/false -u 50 sshd
OpenSSH est très sensible aux
changements de bibliothèques OpenSSL liées. Si vous recompilez OpenSSL, il se peut que OpenSSH échoue pour démarrer. L'alternative
est de le lier à la bibliothèque OpenSSL statique. Pour se lier à la
bibliothèque statique, exécutez la commande suivante :
sed -i 's@-lcrypto@/usr/lib/libcrypto.a -ldl@' configure
Installez OpenSSH en lançant les
commandes suivantes :
sed -i.bak '/K5LIBS=/s/ -ldes//' configure &&
./configure --prefix=/usr \
--sysconfdir=/etc/ssh \
--datadir=/usr/share/sshd \
--libexecdir=/usr/lib/openssh \
--with-md5-passwords \
--with-privsep-path=/var/lib/sshd &&
make
Si vous avez lié tcp_wrappers à la
construction en utilisant le paramètre --with-tcp-wrappers
, assurez-vous d'ajouter
127.0.0.1 à la ligne sshd dans /etc/hosts.allow
si vous avez un fichier
/etc/hosts.deny
restrictif, sinon la
suite de tests échouera. En outre, la suite de tests exige une
copie installée de scp pour réussir les tests de
multiplexing. Pour lancer la suite de tests, copiez d'abord le
programme scp vers /usr/bin
, en vous
assurant de sauvegarder préalablement toute copie existante.
Pour lancer la suite de tests, exécutez les commandes
suivantes :
make tests 2>&1 | tee check.log
grep FATAL check.log
Si la commande ci-dessus donne des erreurs 'FATAL', effectuez
l'installation, en tant qu'utilisateur root
:
make install &&
install -v -m755 -d /usr/share/doc/openssh-5.9p1 &&
install -v -m644 INSTALL LICENCE OVERVIEW README* \
/usr/share/doc/openssh-5.9p1
Explication des commandes
sed -i.bak '/K5LIBS=/s/ -ldes//'
configure : Cette commande corrige une erreur
de construction si vous utilisez le paramètre --with-kerberos5
et que vous construisez le paquet
Heimdal en suivant les
instructions de BLFS. La commande est inoffencive dans tous les
autres cas.
--sysconfdir=/etc/ssh
: Ceci
empêche les fichiers de configuration de s'installer dans
/usr/etc
.
--datadir=/usr/share/sshd
: Ce
paramètre met le fichier Ssh.bin (utilisé pour l'authentication
SmartCard) dans /usr/share/sshd
.
--with-md5-passwords
:
C'est nécessaire avec la configuration par défaut de la suite de
mots de passe Shadow dans LFS.
--libexecdir=/usr/lib/openssh
:
Ce paramètre modifie le chemin d'installation de certains
programmes en /usr/lib/openssh
plutôt
que /usr/libexec
.
--with-pam
: Ce
paramètre active le support de Linux-PAM dans la construction.
--with-xauth=/usr/bin/xauth
:
Règle l'emplacement par défaut du binaire xauth pour l'authentication X.
Modifiez l'emplacement si xauth sera installé à un autre
endroit. Vous pouvez aussi contrôler cela depuis sshd_config
avec le mot-clé XAuthLocation. Vous
pouvez vous passer de cette option si Xorg est déjà installé.
--with-kerberos5=/usr
: Cette
option est utilisée pour inclure le support Heimdal dans la
construction.
Configuration d'OpenSSH
Si vous n'allez utiliser que les clients ssh ou scp, aucune configuration ni
scripts de démarrage n'est nécessaire.
Fichiers de
configuration
~/.ssh/*
, /etc/ssh/ssh_config
et /etc/ssh/sshd_config
Aucune modification n'est nécessaire dans aucun fichier de ces
fichiers. Cependant, vous pourriez souhaiter relire les fichiers
/etc/ssh/
et effectuer les
modifications adéquates pour la sécurité de votre système. Une
des modifications recommandées est de désactiver la connexion en
root
via ssh. Exécutez la commande
suivante en tant qu'utilisateur root
pour désactiver la connexion
root
via ssh :
echo "PermitRootLogin no" >> /etc/ssh/sshd_config
Si vous avez ajouté le support de LinuxPAM, vous devrez ajouter un fichier de
configuration pour sshd et
permettre l'utilisation de LinuxPAM. Effectuez les commandes suivantes
en tant qu'utilisateur root
:
sed 's@d/login@d/sshd@g' /etc/pam.d/login > /etc/pam.d/sshd &&
chmod 644 /etc/pam.d/sshd &&
echo "USEPAM yes" >> /etc/ssh/sshd_config
Vous pouvez trouver des informations de configuration
supplémentaires dans les pages de man de sshd, ssh et de ssh-agent.
Script de démarrage
Pour lancer le serveur SSH au démarrage du système, installez le
script de démarrage /etc/rc.d/init.d/sshd
fourni dans le paquet
blfs-bootscripts-20111226.
make install-sshd
Contenu
Programmes installés:
scp, sftp, sftp-server, slogin, ssh,
sshd, ssh-add, ssh-agent, ssh-keygen, ssh-keyscan, et
ssh-keysign
Bibliothèques installées:
Aucune
Répertoires installés:
/etc/ssh, /var/lib/sshd,
/usr/lib/openssh, et /usr/share/doc/openssh-5.9p1
Descriptions courtes
scp
|
est un programme de copie de fichier agissant comme
rcp sauf
qu'il utilise un protocole chiffré.
|
sftp
|
est un programme de genre FTP fonctionnant sur les
protocoles SSH1 et SSH2.
|
sftp-server
|
est un sous-système de serveur SFTP. Ce programme n'est
en principe pas appelé directement par l'utilisateur.
|
slogin
|
est un lien symbolique vers ssh.
|
ssh
|
est un client du type rlogin/rsh sauf qu'il utilise
un protocole chiffré.
|
sshd
|
est un démon qui écoute les requêtes de connexion
ssh login.
|
ssh-add
|
est un outil qui ajoute des clés à ssh-agent.
|
ssh-agent
|
est un agent d'authentication qui peut stocker des clés
privées.
|
ssh-keygen
|
est un outil de génération de clés.
|
ssh-keyscan
|
est un outil pour réunir des de clés d'hôte publiques à
partir d'un certain nombre d'hôtes.
|
ssh-keysign
|
est utilisé par ssh pour accéder aux
clés de l'hôte local et pour générer la signature
numérique requise lors d'une authentification basée sur
l'hôte avec le protocole SSH version 2. Ce programme
n'est pas, en principe, appelé directement par
l'utilisateur.
|
Last updated on 2011-10-20 03:45:13 +0200