Au-delà de Linux^® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

Précédent
NSS-3.13.1
Suivant
OpenSSL-1.0.0e
Niveau supérieur
Sommaire

OpenSSH-5.9p1

Introduction à OpenSSH

Le paquet OpenSSH contient des clients ssh et le démon sshd. C'est utile dans le cadre d'une authentication chiffrée et d'un trafic réseau consécutif sur un réseau. Les commandes ssh et scp sont des implémentions sécurisées, respectivement de telnet et de rcp.

Ce paquet est connu pour se construire et fonctionner correctement sur une plateforme LFS-7.0.

Informations sur le paquet

Téléchargement (HTTP) : http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz
Téléchargement (FTP) : ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz
Somme de contrôle MD5 du téléchargement : afe17eee7e98d3b8550cc349834a85d0
Taille du téléchargement : 1.1 Mio
Estimation de l'espace disque requis : 44 Mio
Estimation du temps de construction : 3.5 SBU (ajouter 1.5 SBU pour lancer la suite de tests)

Dépendances d'OpenSSH

Requises

Facultatives

Linux-PAM-1.1.5, TCP Wrappers-7.6, X Window System, MIT Kerberos V5-1.6 or Heimdal-1.4, libedit (offre une fonction d'historique de la ligne de commande à sftp), OpenSC et libsectok

Facultatives Runtime (Used only to gather entropy)

IcedTea6-1.9.7 or JDK-6 Update 18, Net-tools-1.60 et Sysstat-10.0.2.

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/OpenSSH

Installation d'OpenSSH

OpenSSH lance pas moins de deux processus en se connectant à d'autres ordinateurs. Le premier processus est un processus privilégié et il contrôle comme il faut l'émission de privilèges. Le deuxième processus communique avec le réseau. Des étapes d'installation supplémentaires sont nécessaires pour paramétrer le bon environnement, effectuées en lançant les commandes suivantes en tant qu'utilisateur root :

install -v -m700 -d /var/lib/sshd &&
chown -v root:sys /var/lib/sshd &&
groupadd -g 50 sshd &&
useradd -c 'sshd PrivSep' -d /var/lib/sshd -g sshd \
    -s /bin/false -u 50 sshd

OpenSSH est très sensible aux changements de bibliothèques OpenSSL liées. Si vous recompilez OpenSSL, il se peut que OpenSSH échoue pour démarrer. L'alternative est de le lier à la bibliothèque OpenSSL statique. Pour se lier à la bibliothèque statique, exécutez la commande suivante :

sed -i 's@-lcrypto@/usr/lib/libcrypto.a -ldl@' configure

Installez OpenSSH en lançant les commandes suivantes :

sed -i.bak '/K5LIBS=/s/ -ldes//' configure &&
./configure --prefix=/usr \
            --sysconfdir=/etc/ssh \
            --datadir=/usr/share/sshd \
            --libexecdir=/usr/lib/openssh \
            --with-md5-passwords \
            --with-privsep-path=/var/lib/sshd &&
make

Si vous avez lié tcp_wrappers à la construction en utilisant le paramètre --with-tcp-wrappers, assurez-vous d'ajouter 127.0.0.1 à la ligne sshd dans /etc/hosts.allow si vous avez un fichier /etc/hosts.deny restrictif, sinon la suite de tests échouera. En outre, la suite de tests exige une copie installée de scp pour réussir les tests de multiplexing. Pour lancer la suite de tests, copiez d'abord le programme scp vers /usr/bin, en vous assurant de sauvegarder préalablement toute copie existante.

Pour lancer la suite de tests, exécutez les commandes suivantes :

make tests 2>&1 | tee check.log
grep FATAL check.log

Si la commande ci-dessus donne des erreurs 'FATAL', effectuez l'installation, en tant qu'utilisateur root :

make install &&
install -v -m755 -d /usr/share/doc/openssh-5.9p1 &&
install -v -m644 INSTALL LICENCE OVERVIEW README* \
    /usr/share/doc/openssh-5.9p1

Explication des commandes

sed -i.bak '/K5LIBS=/s/ -ldes//' configure : Cette commande corrige une erreur de construction si vous utilisez le paramètre --with-kerberos5 et que vous construisez le paquet Heimdal en suivant les instructions de BLFS. La commande est inoffencive dans tous les autres cas.

--sysconfdir=/etc/ssh : Ceci empêche les fichiers de configuration de s'installer dans /usr/etc.

--datadir=/usr/share/sshd : Ce paramètre met le fichier Ssh.bin (utilisé pour l'authentication SmartCard) dans /usr/share/sshd.

--with-md5-passwords : C'est nécessaire avec la configuration par défaut de la suite de mots de passe Shadow dans LFS.

--libexecdir=/usr/lib/openssh : Ce paramètre modifie le chemin d'installation de certains programmes en /usr/lib/openssh plutôt que /usr/libexec.

--with-pam : Ce paramètre active le support de Linux-PAM dans la construction.

--with-xauth=/usr/bin/xauth : Règle l'emplacement par défaut du binaire xauth pour l'authentication X. Modifiez l'emplacement si xauth sera installé à un autre endroit. Vous pouvez aussi contrôler cela depuis sshd_config avec le mot-clé XAuthLocation. Vous pouvez vous passer de cette option si Xorg est déjà installé.

--with-kerberos5=/usr : Cette option est utilisée pour inclure le support Heimdal dans la construction.

Configuration d'OpenSSH

Si vous n'allez utiliser que les clients ssh ou scp, aucune configuration ni scripts de démarrage n'est nécessaire.

Fichiers de configuration

~/.ssh/*, /etc/ssh/ssh_config et /etc/ssh/sshd_config

Aucune modification n'est nécessaire dans aucun fichier de ces fichiers. Cependant, vous pourriez souhaiter relire les fichiers /etc/ssh/ et effectuer les modifications adéquates pour la sécurité de votre système. Une des modifications recommandées est de désactiver la connexion en root via ssh. Exécutez la commande suivante en tant qu'utilisateur root pour désactiver la connexion root via ssh :

echo "PermitRootLogin no" >> /etc/ssh/sshd_config

Si vous avez ajouté le support de LinuxPAM, vous devrez ajouter un fichier de configuration pour sshd et permettre l'utilisation de LinuxPAM. Effectuez les commandes suivantes en tant qu'utilisateur root :

sed 's@d/login@d/sshd@g' /etc/pam.d/login > /etc/pam.d/sshd &&
chmod 644 /etc/pam.d/sshd &&
echo "USEPAM yes" >> /etc/ssh/sshd_config

Vous pouvez trouver des informations de configuration supplémentaires dans les pages de man de sshd, ssh et de ssh-agent.

Script de démarrage

Pour lancer le serveur SSH au démarrage du système, installez le script de démarrage /etc/rc.d/init.d/sshd fourni dans le paquet blfs-bootscripts-20111226.

make install-sshd

Contenu

Programmes installés: scp, sftp, sftp-server, slogin, ssh, sshd, ssh-add, ssh-agent, ssh-keygen, ssh-keyscan, et ssh-keysign

Bibliothèques installées: Aucune

Répertoires installés: /etc/ssh, /var/lib/sshd, /usr/lib/openssh, et /usr/share/doc/openssh-5.9p1

Descriptions courtes

scp	est un programme de copie de fichier agissant comme rcp sauf qu'il utilise un protocole chiffré.
sftp	est un programme de genre FTP fonctionnant sur les protocoles SSH1 et SSH2.
sftp-server	est un sous-système de serveur SFTP. Ce programme n'est en principe pas appelé directement par l'utilisateur.
slogin	est un lien symbolique vers ssh.
ssh	est un client du type rlogin/rsh sauf qu'il utilise un protocole chiffré.
sshd	est un démon qui écoute les requêtes de connexion ssh login.
ssh-add	est un outil qui ajoute des clés à ssh-agent.
ssh-agent	est un agent d'authentication qui peut stocker des clés privées.
ssh-keygen	est un outil de génération de clés.
ssh-keyscan	est un outil pour réunir des de clés d'hôte publiques à partir d'un certain nombre d'hôtes.
ssh-keysign	est utilisé par ssh pour accéder aux clés de l'hôte local et pour générer la signature numérique requise lors d'une authentification basée sur l'hôte avec le protocole SSH version 2. Ce programme n'est pas, en principe, appelé directement par l'utilisateur.

Last updated on 2011-10-20 03:45:13 +0200

Précédent
NSS-3.13.1
Suivant
OpenSSL-1.0.0e
Niveau supérieur
Sommaire