一. 基础环境准备
操作系统:Ubuntu16.04Server
先
sudo apt-get install vim openssh-server便于后续上传源码以及调试。
看一下现在openssh的版本:
zjd@ubuntu:~$ ssh -V
OpenSSH_7.2p2 Ubuntu-4ubuntu2.6, OpenSSL 1.0.2g 1 Mar 2016安装编译所需要的库:
zjd@ubuntu:~$ sudo apt-get install build-essential二. 源码下载
从https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/下载最新的openssh-7.9p1.tar.gz;从http://www.zlib.net/下载最新的zlib-1.2.11.tar.gz;从https://www.openssl.org/source/下载最新的openssl-1.1.1a.tar.gz。/home/zjd/下新建mySSH目录,然后将这三个压缩包上传上去后用tar分别解压:zjd@ubuntu:~/mySSH$ tar -zxvf zlib-1.2.11.tar.gz。。。
zjd@ubuntu:~/mySSH$ ll
total 10312
drwxrwxrwx 5 root root 4096 Dec 17 16:41 ./
drwxr-xr-x 4 root root 4096 Dec 17 16:27 ../
drwxr-xr-x 5 zjd zjd 12288 Oct 18 18:06 openssh-7.9p1/
-rw-rw-r-- 1 zjd zjd 1565384 Dec 17 16:39 openssh-7.9p1.tar.gz
drwxr-xr-x 19 zjd zjd 4096 Nov 20 05:35 openssl-1.1.1a/
-rw-rw-r-- 1 zjd zjd 8350547 Dec 17 16:39 openssl-1.1.1a.tar.gz
drwxr-xr-x 14 zjd zjd 4096 Jan 15 2017 zlib-1.2.11/
-rw-rw-r-- 1 zjd zjd 607698 Dec 17 16:39 zlib-1.2.11.tar.gz三. 编译安装
1. zlib
进文件夹后直接配置编译安装:
zjd@ubuntu:~/mySSH/zlib-1.2.11$ ./configure --prefix=/usr/local
zjd@ubuntu:~/mySSH/zlib-1.2.11$ make
zjd@ubuntu:~/mySSH/zlib-1.2.11$ sudo make install2. openssl
注意要先卸载旧版本:
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ sudo apt-get purge openssl删除旧配置文件:
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ rm -rf /etc/ssl然后配置编译安装新版本:
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ ./config --prefix=/usr/local --openssldir=/usr/local/ssl
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ make
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ sudo make install
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ ./config shared --prefix=/usr/local --openssldir=/usr/local/ssl
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ make clean
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ make
zjd@ubuntu: ~/mySSH/openssl-1.1.1a$ sudo make install其中:prefix 是安装目录,openssldir 是配置文件目录,另外建议安装两次,shared 作用是生成动态连接库。
最后,因为是非root用户安装,因此需要增加两条软连接:
zjd@ubuntu:~/mySSH/openssl-1.1.1a$ sudo ln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.so.1.1
zjd@ubuntu:~/mySSH/openssl-1.1.1a$ sudo ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.so.1.1OK,现在看一下openssl的版本:
zjd@ubuntu:~/mySSH/openssl-1.1.1a$ openssl version
OpenSSL 1.1.1a 20 Nov 20183. openssh
zjd@ubuntu:~/mySSH/openssh-7.9p1$ ./configure -prefix=/usr/local -sysconfdir=/etc/ssh -with-ssl-dir=/usr/local/ssl
zjd@ubuntu:~/mySSH/openssh-7.9p1$ make
zjd@ubuntu:~/mySSH/openssh-7.9p1$ sudo make install安装完重启服务:
zjd@ubuntu:~/mySSH/openssh-7.9p1$ sudo systemctl restart sshd.service现在再看一下ssh的版本:
zjd@ubuntu:~/mySSH/openssh-7.9p1$ ssh -V
OpenSSH_7.9p1, OpenSSL 1.1.1a 20 Nov 2018四. 修改openssh源码
当修改了openssh源码后,为了不影响系统已启动的ssh服务的运行,应该重新配置编译输出路径,然后停掉系统已启动的ssh服务,启动新编译的sshd。过程如下:
zjd@ubuntu:~/mySSH/openssh-7.9p1$ sudo vim session.c
zjd@ubuntu:~/mySSH/openssh-7.9p1$ make clean
zjd@ubuntu:~/mySSH/openssh-7.9p1$ ./configure -prefix=/usr/local/myssh -sysconfdir=/etc/ssh -with-ssl-dir=/usr/local/ssl
zjd@ubuntu:~/mySSH/openssh-7.9p1$ make
zjd@ubuntu:~/mySSH/openssh-7.9p1$ sudo make install
zjd@ubuntu:~/mySSH/openssh-7.9p1$ sudo /etc/init.d/ssh stop
zjd@ubuntu:~/mySSH/openssh-7.9p1$ sudo /usr/local/myssh/sbin/sshd再次继续修改时,最后两行停止和启动服务的操作就不用执行了。
如果重启了系统,则最后两步要重新执行一下。当然,也可以写个开机启动脚本,这样系统启动时就自动执行最后两行了,方法如下:
在/etc/init.d/目录下新建一个脚本文件startmyssh.sh,并赋予运行权限:
zjd@ubuntu:/etc/init.d$ sudo chmod 755 startmyssh.shvim编辑脚本内容为:
#!/bin/bash
### BEGIN INIT INFO
# Provides: Zhang Jidong
# Required-Start: $local_fs
# Required-Stop: $local_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: sshd service
# Description: mysshd service
### END INIT INFO
sudo /etc/init.d/ssh stop
sudo /usr/local/myssh/sbin/sshd
exit 0注意前面的注释部分格式一定要一样,否则会有各种警告;
最后添加启动调用:
zjd@ubuntu:/etc/init.d$ sudo update-rc.d startmyssh.sh defaults 90好了,现在可以重启试试了!
五. openssh日志
openssh的配置文件位于:
zjd@ubuntu:/etc/ssh$ sudo vim sshd_config
# Logging
SyslogFacility AUTH
LogLevel INFO详细定义位于log.h,如下:
/* Supported syslog facilities and levels. */
typedef enum {
SYSLOG_FACILITY_DAEMON,
SYSLOG_FACILITY_USER,
SYSLOG_FACILITY_AUTH,
#ifdef LOG_AUTHPRIV
SYSLOG_FACILITY_AUTHPRIV,
#endif
SYSLOG_FACILITY_LOCAL0,
SYSLOG_FACILITY_LOCAL1,
SYSLOG_FACILITY_LOCAL2,
SYSLOG_FACILITY_LOCAL3,
SYSLOG_FACILITY_LOCAL4,
SYSLOG_FACILITY_LOCAL5,
SYSLOG_FACILITY_LOCAL6,
SYSLOG_FACILITY_LOCAL7,
SYSLOG_FACILITY_NOT_SET = -1
} SyslogFacility;
typedef enum {
SYSLOG_LEVEL_QUIET,
SYSLOG_LEVEL_FATAL,
SYSLOG_LEVEL_ERROR,
SYSLOG_LEVEL_INFO,
SYSLOG_LEVEL_VERBOSE,
SYSLOG_LEVEL_DEBUG1,
SYSLOG_LEVEL_DEBUG2,
SYSLOG_LEVEL_DEBUG3,
SYSLOG_LEVEL_NOT_SET = -1
} LogLevel;SyslogFacility配置为AUTH,则日志会输出到/var/log/auth.log
六. sftp日志
sftp是openssh根据功能需要启动的子进程,缺省是关闭了日志的。打开方法为:
sudo vim /etc/ssh/sshd_config在Subsystem所在行最后增加 -l DEBUG3,如下:
Subsystem sftp /usr/libexec/openssh/sftp-server -l DEBUG3将sftp的日志单独存放:
sudo vim /etc/rsyslog.conf最后面增加如下内容:
# Log sftp-server in a separate file
:programname, isequal, "sftp-server" /var/log/sftp.log现在就可以重启sshd服务和rsyslog服务来生效了:
sudo systemctl restart rsyslog.service
sudo systemctl restart sshd.service看:
zjd@ubuntu:/var/log$ ll -t
total 1532
-rw-r----- 1 syslog adm 379366 Dec 20 04:58 syslog
-rw-r----- 1 syslog adm 61409 Dec 20 04:53 auth.log
-rw-r----- 1 syslog adm 6460 Dec 20 04:41 sftp.log
drwxrwxr-x 7 root syslog 4096 Dec 20 04:40 ./
drwxr-xr-x 12 root root 4096 Dec 20 04:31 ../
-rw-r--r-- 1 root root 568865 Dec 20 04:25 dpkg.log
-rw-rw-r-- 1 root utmp 292292 Dec 20 04:22 lastlog
-rw-rw-r-- 1 root utmp 5376 Dec 20 04:22 wtmp
-rw-r----- 1 syslog adm 348026 Dec 20 04:22 kern.log……
建议设置logrotate避免日志过大。方法是sudo vim创建/etc/logrotate.d/sftp文件,输入下面内容并保存:
/var/log/sftp.log
{
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}如果此时通过FileZilla客户端访问openssh-server,查看文件列表以及上传下载等操作,可以通过日志发现这些操作的实现都在sftp-server.c中。
七. 限制sftp用户只能访问指定目录
添加用户test1:
zjd@ubuntu:/home$ sudo useradd test1为test1设置密码:
zjd@ubuntu:/home$ sudo passwd test1编辑
sudo vim /etc/ssh/sshd_config将已有的Subsystem sftp /usr/lib/openssh/sftp-server -l DEBUG3改为:
Subsystem sftp internal-sftp -l DEBUG3并在最后为test1增加如下配置:
Match User test1
ChrootDirectory /home/test1
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -l DEBUG3创建好目录:
zjd@ubuntu:/home# sudo mkdir test1权限设置:
zjd@ubuntu:/home$ sudo chown root:root /home/test1
zjd@ubuntu:/home$ sudo chmod 755 /home/test1
zjd@ubuntu:/home$ sudo usermod test1 -s /sbin/nologin现在重启sshd服务,可以发现已经是只能登录到/home/test1目录中了。但此时没有写权限,那就继续如下配置,给test1配置一个可以读写的data文件夹:
zjd@ubuntu:/home/test1# sudo mkdir data
zjd@ubuntu:/home/test1# sudo chown test1:test1 /home/test1/data/
zjd@ubuntu:/home/test1# sudo chmod 755 /home/test1/data/好了,现在用户通过sftp登录后,就能看到一个data文件夹,并且在这个data文件夹里面可以进行读写操作了。
此时前面加的-l DEBUG3参加(打印sftp.log)无效了,需要再进行如下配置:
/home/test1下新建dev文件夹:
zjd@ubuntu:/home/test1# sudo mkdir dev编辑sudo vim /etc/rsyslog.conf,最后面新增:
# Create an additional socket for some of the sshd chrooted users.
$AddUnixListenSocket /home/test1/dev/log
# Log internal-sftp in a separate file
:programname, isequal, "sftp" /var/log/sftp.log(如果增加多个用户,只需重复增加AddUnixListenSocket命令即可。)
编辑
root@ubuntu:/home# vim /etc/selinux/config新增:
SELINUX=disabled重启一下日志服务:
zjd@ubuntu:/home/test1# sudo systemctl restart rsyslog.service好了,现在重启系统吧!
此时sftp用户登录后看到的是两个文件夹data和dev,如果自动进入data文件夹,则体验更好。此时就需要修改sftp-server.c,在函数process_realpath中增加如下
if (strlen(path) == 1 && !strcmp(path, "."))部分的内容:
static void
process_realpath(u_int32_t id)
{
char resolvedname[PATH_MAX];
char *path;
int r;
if ((r = sshbuf_get_cstring(iqueue, &path, NULL)) != 0)
fatal("%s: buffer error: %s", __func__, ssh_err(r));
if (path[0] == '\0') {
free(path);
path = xstrdup(".");
}
debug3("request %u: realpath", id);
verbose("realpath \"%s\"", path);
if (strlen(path) == 1 && !strcmp(path, "."))
{
logit("======== Change path from '.' to '/data/.'");
free(path);
path = xstrdup("/data/.");
}
if (realpath(path, resolvedname) == NULL) {
send_status(id, errno_to_portable(errno));
} else {
Stat s;
attrib_clear(&s.attrib);
s.name = s.long_name = resolvedname;
send_names(id, 1, &s);
}
free(path);
}
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
