AIX5.3安装openSSL,openSSH

试验环境：AIX 5.3下载安装rpm工具：ftp:///aix/freeSoftware/aixtoolbox/INSTALLP/ppc/rpm.rte installp -YqacXgd rpm.rte rpm.rte去/ 下载pware的各个软件包。

安装当前目录所有 .bff 文件：installp -YX -d . allSelected Filesets-----------------pware53.apache.rte 2.2.8.0 # Apache 2.2.8pware53.apache.rte 2.2.9.0 # Apache 2.2.9pware53.apr-util.rte 1.2.12.0 # Apache Portable Runtime Util... pware53.apr.rte 1.2.12.0 # Apache Portable Runtime 1.2.12 pware53.base.rte 5.3.0.0 # pWare base for 5.3pware53.bash.rte 3.2.39.0 # GNU bash 3.2pware53.bdb.rte 4.4.20.4 # Berkeley DB 4.4.20pware53.bind.rte 9.5.0.0 # ISC bind 9.5.0pware53.bison.rte 2.3.0.0 # GNU bison 2.3pware53.bzip2.rte 1.0.4.1 # bzip2 1.0.4pware53.cfengine.rte 2.2.6.0 # cfengine 2.2.6pware53.clearsilver.rte 0.10.5.0 # ClearSilver 0.10.5pware53.ctdb.rte 1.0.47.0 # CTDB 1.0pware53.curl.rte 7.18.1.0 # cURL 7.18.1pware53.cx_Oracle.rte 4.4.0.0 # cx-Oracle for Python 4.4pware53.cyrus-sasl.rte 2.1.22.0 # Cyrus SASL 2.1.22pware53.diffutils.rte 2.8.1.0 # GNU diffutils 2.8.1pware53.expat.rte 2.0.1.0 # expat 2.0.1pware53.freeradius.rte 1.1.7.0 # FreeRADIUS 1.1.7pware53.freetds.rte 0.64.0.0 # freeTDS 0.64pware53.freetype.rte 2.3.5.0 # freetype 2.3.5pware53.gd.rte 2.0.35.0 # gd 2.0.35pware53.gdb.rte 6.7.1.0 # GNU gdb 6.7.1pware53.gettext.rte 0.17.0.0 # GNU gettext 0.17pware53.gmp.rte 4.2.2.0 # gmp 4.2.2pware53.gnupg.rte 1.4.7.0 # gnupg 1.4.7pware53.iODBC.rte 3.52.6.0 # iODBC 3.52.6pware53.krb5.rte 1.6.3.0 # MIT Kerberos 1.6.3pware53.libiconv.rte 1.12.0.0 # GNU libiconv 1.12pware53.libjpeg.rte 6.2.0.0 # jpeg 6bpware53.libmcrypt.rte 2.5.8.0 # libmcrypt 2.5.8pware53.libpng.rte 1.2.25.0 # libpng 1.2.25pware53.libtiff.rte 3.8.2.0 # libtiff 3.8.2pware53.libtool.rte 1.5.26.0 # GNU libtool 1.5.26pware53.libungif.rte 4.1.4.0 # libungif 4.1.4pware53.libxml2.rte 2.6.31.0 # libxml2 2.6.31pware53.libxslt.rte 1.1.22.0 # libxslt 1.1.22pware53.m4.rte 1.4.10.0 # GNU m4 1.4.10pware53.make.rte 3.81.0.0 # GNU make 3.81pware53.mcrypt.rte 2.6.7.0 # mcrypt 2.6.7pware53.mhash.rte 0.9.9.0 # mhash 0.9.9pware53.mm.rte 1.4.2.0 # mm 1.4.2pware53.mod_auth_kerb.rte 5.3.0.0 # Apache mod_auth_kerb 5.3pware53.mod_perl.rte 2.0.4.0 # Apache mod_perl 2.0.4pware53.mpfr.rte 2.3.1.0 # mpfr 2.3.1pware53.mysql.rte 5.0.51.2 # MySQL 5.0.51bpware53.neon.rte 0.28.2.0 # neon 0.28.2-snmp.rte 5.4.1.0 # Net-SNMP 5.4.1pware53.oic.rte 10.2.0.3 # Oracle Instant Client 10.2.0.3 pware53.openldap.rte 2.3.39.0 # OpenLDAP 2.3.39pware53.openssh.rte 5.0.1.1 # OpenSSH 5.0p1pware53.openssl.rte 0.9.8.8 # OpenSSL 0.9.8hpware53.patch.rte 2.5.4.0 # GNU path 2.5.4pware53.pcre.rte 7.7.0.0 # pcre 7.7pware53.perl.rte 5.10.0.0 # Perl 5.10.0pware53.php.rte 5.2.6.1 # PHP 5.2.6 (Suhosin-Patch 0.9... pware53.popt.rte 1.7.0.0 # popt 1.7pware53.python.rte 2.5.2.0 # Python 2.5.2pware53.readline.rte 5.2.0.0 # GNU readline 5.2pware53.rsync.rte 3.0.2.0 # rsync 3.0.2pware53.rt.rte 3.6.6.0 # RT 3.6.6pware53.ruby.rte 1.8.6.111 # Ruby 1.8.6pware53.sablot.rte 1.0.3.0 # Sablot 1.0.3pware53.samba.rte 3.2.0.0 # Samba 3.2.0pware53.samba.rte 3.2.3.0 # Samba 3.2.3 + Clustering Option pware53.sqlite.rte 3.5.9.0 # SQLite 3.5.9pware53.svn.rte 1.4.6.1 # Subversion 1.4.6pware53.tcl.rte 8.4.16.0 # Tcl 8.4.16pware53.texinfo.rte 4.11.0.0 # GNU texinfo 4.11.rte 8.4.16.0 # Tk 8.4.16pware53.unixODBC.rte 2.2.12.0 # unixODBC 2.2.12pware53.unzip.rte 5.52.0.0 # unzip 5.52pware53.wget.rte 1.11.2.0 # GNU wget 1.11.2pware53.zip.rte 2.32.0.0 # zip 2.32pware53.zlib.rte 1.2.3.0 # zlib 1.2.3（只用ssh的话选择一下就好了，不过我贪多，那些工具都想要...）=================================================================配置sshsu -cd /opt/pware/etccp sshd_config.default sshd_configcp ssh_config.default ssh_config作必要的修改（如sshd_config 里PermitRootLogin no）ssh-keygen -d -f /opt/pware/etc/ssh_host_dsa_key -N ""ssh-keygen -b 1024 -f /opt/pware/etc/ssh_host_rsa_key -t rsa -N ""useradd sshdmkdir /var/emptychmod 700 /var/emptycp ssh_host_rsa_key ssh_host_keycp ssh_host_rsa_key.pub ssh_host_key.pub==========================制作ssh启动脚本：[root]#vi /etc/init.sshd#! /bin/sh## start/stop the secure shell daemoncase "$1" in'start')# Start the sshd daemonif [ -f /opt/pware/sbin/sshd ]; thenecho "starting SSHD daemon"/opt/pware/sbin/sshd &fi;;'stop')# Stop the ssh deamonPID=`/usr/bin/ps -ef |/usr/bin/grep sshd |/usr/bin/grep " 1 "|/usr/bin/grep -v @ |grep -vgrep|/usr/bin/awk '{print $2}'`if [ ! -z "$PID" ] ; then/usr/bin/kill ${PID} >/dev/null 2>&1fi;;*)echo "usage: /etc/init.sshd {start|stop}";;esac================================chmod +x /etc/init.sshdln -s /etc/init.sshd /etc/rc.d/rc2.d/S98sshdln -s /etc/init.sshd /etc/rc.d/rc2.d/K18sshd启动sshd: /etc/init.sshd start停止sshd: /etc/init.sshd stop=================================在/etc/inetd.conf 中注释掉telnet以及shell、login、exec等r系列的服务stopsrc -s inetdstartsrc -s inetdssh代替telnet完成=================================用ssh登录，进入sqlplus后，delete 和 backspace键反应不正确了，无法删除命令行文字。

AIX-SSH配置手册SSH配置完全手册前言为何使用 OpenSSH？您每天使用的标准网络服务（如 FTP、Telnet、RCP 和远程 Shell (rsh) 等）在封闭环境中运行良好，但使用这些服务在网络上传输的信息是未加密的。

任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息，有时甚至可以查看密码信息。

而且，使用所有此类服务时，在登录过程中用于自动登录的选项会受到限制，并且通常依赖于将纯文本密码嵌入到命令行才能执行语句，从而使登录过程变得更加不安全。

开发的安全 Shell (SSH) 协议可以排除这些限制。

SSH 能够为整个通信通道提供加密，其中包括登录和密码凭据交换，它与公钥和私钥一起使用可以为登录提供自动化身份验证。

您还可以将 SSH 用作基础传输协议。

以这种方式使用 SSH 意味着在打开安全连接后，加密通道可注意:在AIX上安装SSH , 需要安装OpenSSL 来获得支持 . 否则, 安装会不成功 , 报错信息提示也要先安装OpenSSL .OpenSSL可以登陆IBM官网下载 , SSH 软件从https:///project/showfiles.php?group_id=127997上下载 .环境说明实验环境机器为: M85 , P630 系统版本均为AIX 5.3根据系统版本来下载OpenSSL和OpenSSH的版本 .OpenSSL : openssl-0.9.7l-2.aix5.1.ppc.rpm OpenSSH : openssh-4.3p2-r2.tar.Z安装软件安装顺序为先安装OpenSSL , 后安装OpenSSH➢OpenSSL : 将openssl-0.9.7l-2.aix5.1.ppc.rpm包ftp到/tmp/ssh下.通过smitty installp安装 .如下图:➢OpenSSH : 将openssh-4.3p2-r2.tar.Z包ftp到/tmp/ssh下, 用命令:Zcat openssh-4.3p2-r2.tar.Z | tar -xvf -解包.Smitty installp 安装 .注意要先单独安装license. 后面再安装base包,都要选择ACCEPT new license agreements为yes.如下图:配置SSH软件安装完成后 , 可以通过lssrc –s sshd查看ssh后台程序有没启动 . 一般安装完ssh软件, 会自动激活该后台程序 . 如查看未激活 , 用 startsrc -s sshd来启动就可以.➢软件安装完成后 , 在/etc下会有ssh这个目录生成.➢修改sshd_config文件 , 为后面的2台机器之间互相访问不需要提供密码做准备 . 修改的内容如图红色的,visshd_config将前头的#号注释掉,启用就可以.AIX6105SP5版本中需要在/etc/ssh/sshd_config中修改.ssh/authorized_keys为~/.ssh/authorized_keys，否则系统重启后无法启动sshd进程。

1.Openssh概念OpenSSH 是SSH（Secure SHell）协议的免费开源实现。

SSH协议族可以用来进行远程控制，或在计算机之间传送文件。

而实现此功能的传统方式，如telnet(终端仿真协议)、rcp ftp、rlogin、rsh都是极为不安全的，并且会使用明文传送密码。

OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。

2.使用ftp演示不安全性1.启动ftp服务Service vsftpd restart2.启动后查看21端口是否处于监听状态Netstat -tnl3.执行操作，如添加用户等Useradd xiaomingPasswd xiaoming输入密码4.使用tcpdump(抓包命令)查看刚才的操作信息tcpdump -i etho -nnX port 215.在windows中使用ftp hostName 连接刚才创建的用户6.查看抓到的包信息以上说明ftp协议是不安全的。

3.Openssh简介1.SSH端口：222.Linux中守护进程：sshd3.安装服务：OpenSSH4.服务端主程序：/usr/sbin/sshd5.客户端主程序：/usr/bin/ssh6.服务端配置文件：/etc/ssh/sshd_config7.客户端配置文件：/etc/ssh/ssh_config4.SSH加密原理SSH之所以能够保证安全，原因在于它采用了公钥加密。

整个过程是这样的：（1）远程主机收到用户的登录请求，把自己的公钥发给用户。

（2）用户使用这个公钥，将登录密码加密后，发送回来。

（3）远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。

这个过程本身是安全的，但是实施的时候存在一个风险：如果有人截获了登录请求，然后冒充远程主机，将伪造的公钥发给用户，那么用户很难辨别真伪。

因为不像https协议，SSH协议的公钥是没有证书中心（CA）公证的，也就是说，都是自己签发的。

openssl使用流程OpenSSL使用流程介绍OpenSSL 是一个开源的加密工具包和安全通信协议实现库，提供了一系列的加密算法、SSL/TLS 防护和各种安全工具，广泛应用于网络通信、服务器配置、数字证书管理等各个领域。

本文将以OpenSSL 的使用流程为主题，一步一步详细回答。

一、准备工作1. 下载和安装OpenSSL：首先，我们需要从OpenSSL 的官方网站或其他可信来源下载并安装OpenSSL。

根据操作系统的不同，选择相应的版本进行下载和安装。

2. 生成RSA 密钥对：在开始使用OpenSSL 之前，建议先生成一对RSA 密钥对，用于后续的加密和解密操作。

在命令行中输入以下命令可以生成一个2048 位的RSA 密钥对：openssl genrsa -out private.key 2048该命令将生成一个名为private.key 的私钥文件，其中包含了生成的RSA 私钥。

接着，可以使用以下命令生成对应的公钥文件：openssl rsa -in private.key -pubout -out public.key这将生成一个名为public.key 的公钥文件，其中包含了与私钥对应的RSA 公钥。

二、公钥加密和私钥解密1. 加密数据：使用公钥加密数据是一种常见的操作，可以保证数据在传输过程中的机密性。

在命令行中输入以下命令可以使用公钥对数据进行加密：openssl rsautl -encrypt -pubin -inkey public.key -in plaintext.txt -out ciphertext.enc该命令将使用public.key 中的公钥对plaintext.txt 中的明文数据进行加密，并将密文数据存储到ciphertext.enc 文件中。

2. 解密数据：解密数据需要使用对应的私钥进行操作。

在命令行中输入以下命令可以使用私钥对密文数据进行解密：openssl rsautl -decrypt -inkey private.key -in ciphertext.enc -out plaintext.txt该命令将使用private.key 中的私钥对ciphertext.enc 中的密文数据进行解密，并将解密后的明文数据存储到plaintext.txt 文件中。

Openssh与openssl升级方案1.安装zlibzlib和openssl安装在/usr/local目录下#tar -zxvf zlib-1.2.8.tar.gz#cd zlib-1.2.8#CFLAGS="-O3 -fPIC" ./configure --prefix=/usr/local/zlib-1.2.8 -share#make#make test#make install#make clean2.升级openssl#cd /usr/local/src#tar zxvf openssl-1.0.1j.tar.gz#cd openssl-1.0.1j#./config --prefix=/usr/local/openssl-1.0.1j --shared#make#make test(这一步是进行SSL 加密协议的完整测试，如果出现错误就要一定先找出原因，否则一味继续可能导致SSH 不能使用)#make install#vi /etc/ld.so.conf############################################## add below line to ld.so.conf/usr/local/openssl-1.0.1j/lib 64位OS 没有生成lib目录，是lib64目录#############################################ldconfig -v 刷新缓存文件/etc/ld.so.cache执行以下命令：#mv /usr/bin/openssl /usr/bin/openssl.OFF#mv /usr/include/openssl /usr/include/openssl.OFF#ln -s /usr/local/openssl-1.0.1j/bin/openssl /usr/bin/openssl#ln -s /usr/local/openssl-1.0.1j/include/openssl /usr/include/openssl查看openssl 版本号，验证安装正确性:#openssl version -a3.升级并配置openssh1.直接在解压的目录下做升级操作，避免了停止后的危险。

一、环境描述1）操作系统：redhat6.5 64位2）Openssl升级前版本：openssl 1.0.1e3）Openssl升级后版本：openssl 1.0.1j（源码安装）4）Openssh升级前版本：openssh-5.3p2-41.el55）Openssh升级后版本：openssh_6.7p1（源码安装）6）连接工具xshell 4二、telnet代替OpenSSH（可选）开启telnet，并允许root登陆（适用于rhel4.*，rhel5.*，rhel6.*）使用命令查看已经安装的telnet包（系统默认已经安装）#rpm -qa | grep telnet开启telnet服务#chkconfig telnet on修改securetty文件#vim /etc/securetty添加几个ptspts/1pts/1pts/3激活telnet#service xinetd restart三、升级OpenSSL到openssl-1.0.1j，并删除老版本1）升级前准备下载openssl-1.0.1j/source/openssl-1.0.1j.tar.gz2）删除旧版本#rpm -e `rpm -qa | grep openssl` --allmatches --nodeps3）安装openssl, 一定记得加上--shared选项, 否则openssh编译的时候会找不到新安装的openssl的library, 会报错: openssl的header和library版本不匹配# ./config --prefix=/usr --shared# make# make test# make install完毕后查看openssl版本安装是否正确注：老版本低于1.0.1e，那直接安装1.0.1g版本就会出缺失libssl.so.10和libcrypto.so.10库文件的问题，在启动某服务或者直接yum安装等命令都会出现下面问题；且最严重问题是SSH就连接不上了···解决办法：1、首先查看/usr/lib64/目录下（如是32位系统那路径就是/usr/lib/）libssl.so库文件的版本，我的是libssl.so.1.0.0[root@localhost/]# ll /usr/lib64/libssl.so*-rwxr-xr-x. 1 root root 479012 Apr 9 13:39 /usr/lib64/libssl.so.1.0.0 2、再查看/usr/lib64/目录下[root@localhost/]#ll /usr/lib64/libcrypto.so*-rwxr-xr-x. 1 root root 2200149 Apr 9 13:39 /usr/lib64/libcrypto.so.1.0.03、创建软链接（ln源就是上面查出的对应版本的库文件）：cd /usr/lib64/ln -s /usr/lib64/libssl.so.1.0.0 libssl.so.10ln -s /usr/lib64/libcrypto.so.1.0.0 libcrypto.so.10注意：系统做roseha双机的时候，双机脚本会影响到这两个库文件的软链接，导致ssh登陆不上，并且sshd服务无法启动。