목차

• 개요
• 설치
  • zlib
  • libedit
  • OpenSSH 설치
• 설정및 실행
  • 설정
  • 시작 스크립트
  • 실행
    • 시작
    • 종료

개요

• OpenSSH를 설치하는 방법에 대해 설명한다. OpenSSH는 SSH 의 무료 버전이다. OpenBSD 프로젝트 산하에서 개발하고 있다.
• 솔라리스 9부터 OpenSSH 기반의 SunSSH 가 번들되어있으며, 솔라리스 11.4 부터 OpenSSH 를 기본 제공한다. 새로운 기능이 필요하지 않다면, OpenSSH를 새로 설치하지 않기를 권장한다.
• SSH의 전반적인 사항은 윈디하나의 솔라나라: SSH를 읽어보자.
• 공식홈페이지: OpenSSH

설치

• zlib

  • C용 ZIP 압축 라이브러리
  • 공식홈페이지: zlib
  • 솔라리스 10 이후부터는 번들되어있으므로 최신 버전이 필요하지 않다면 설치할 필요 없다.
  • zlib 사용법은 zlib Usage Example을 읽어보자.

  # wget https://www.zlib.net/zlib-1.2.12.tar.xz
  # tar xvfJ zlib-1.2.12.tar.xz
  # cd zlib-1.2.12
  # ./configure --64
  # make
  # make test
  ...
                  *** zlib test OK ***
  ...
                  *** zlib shared test OK ***
  ...
                  *** zlib 64-bit test OK ***
  # sudo make install
  

• libedit

  • 강력한 편집 기능을 가진 CLI를 쉽게 구현할 수 있도록 해주는 라이브러리
  • 공식홈페이지: Editline Library (libedit) - Port of NetBSD Command Line Editor Library
  • 이 라이브러리는 NetBSD Editline 라이브러리의 autotools, libtoolize 가능한 판이다. (다른 시스템에서도 사용할 수 있도록 포팅되었다는 의미다) GNU Readline 라이브러리와 동일한 기능을 하고 같은 메소드를 제공해준다. GNU Readline 은 GPL 라이선스(LGPL라이선스가 아니다!), libedit 는 BSD스타일의 라이선스를 가지고 있다.
  • 솔라리스 11에는 번들되어있다.

  # wget http://thrysoee.dk/editline/libedit-20210714-3.1.tar.gz
  # tar xvfz libedit-20210714-3.1.tar.gz
  # cd libedit-20210714-3.1
  # ./configure CFLAGS="-m64"
  # vi src/vis.c 2)
  #define MIN(a,b) (((a)<(b))?(a):(b))
  #define MAX(a,b) (((a)>(b))?(a):(b))
  # make 1)
  # sudo make install
  

  1) GNUAwk 4.x 가 필요하다.
  2) Linux 에는 /usr/include/sys/param.h에 MIN, MAX 매크로가 있지만 솔라리스에는 없다. 매크로를 추가해준다.

• OpenSSH 설치

  솔라리스 11에서 64bit 로 빌드하고 설치하자. 빌드에는 GCC를 사용해야 한다.

  windy@wl ~/src $ wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.1p1.tar.gz
  windy@wl ~/src $ tar xvfz openssh-9.1p1.tar.gz
  windy@wl ~/src $ cd openssh-9.1p1
  windy@wl ~/src/openssh-9.1p1 $ CFLAGS="-m64" LDFLAGS="-m64" CC="gcc" ./configure \
    --prefix=/usr/local/ssh \
    --with-ssl-dir=/usr/local/ssl \
    --with-ssl-engine \
    --with-pam \
    --with-solaris-contracts \
    --with-solaris-projects \
    --with-solaris-privs \
    --with-ipaddr-display \
    --with-zlib=/usr/local \
    --with-libedit=/usr/local \
    --without-openssl-header-check 1)
  ...
  OpenSSH has been configured with the following options:
                       User binaries: /usr/local/ssh/bin
                     System binaries: /usr/local/ssh/sbin
                 Configuration files: /usr/local/ssh/etc
                     Askpass program: /usr/local/ssh/libexec/ssh-askpass
                        Manual pages: /usr/local/ssh/share/man/manX
                            PID file: /var/run
    Privilege separation chroot path: /var/empty
              sshd default user PATH: /usr/bin:/bin:/usr/sbin:/sbin:/usr/local/ssh/bin
     (If PATH is set in /etc/default/login it will be used instead. If
     used, ensure the path to scp is present, otherwise scp will not work.)
                      Manpage format: doc
                         PAM support: yes
                     OSF SIA support: no
                   KerberosV support: no
                     SELinux support: no
                     libedit support: yes
                     libldns support: no
    Solaris process contract support: yes
             Solaris project support: yes
           Solaris privilege support: yes
         IP address in $DISPLAY hack: yes
             Translate v4 in v6 hack: no
                    BSD Auth support: no
                Random number source: OpenSSL internal ONLY
               Privsep sandbox style: solaris
                     PKCS#11 support: yes
                    U2F/FIDO support: yes
  
                Host: x86_64-pc-solaris2.11
            Compiler: gcc
      Compiler flags: -m64 -pipe -Wno-error=format-truncation -Wall -Wpointer-arith -Wuninitialized -Wsign-compare -Wformat-security -Wsizeof-pointer-memaccess -Wno-pointer-sign -Wno-unused-result -Wimplicit-fallthrough -Wmisleading-indentation -fno-strict-aliasing -D_FORTIFY_SOURCE=2 -ftrapv -fzero-call-used-regs=all -fno-builtin-memset -fstack-protector-strong
  Preprocessor flags: -I/usr/local/ssl/include -I/usr/local/include  -I/usr/local/include
        Linker flags: -L/usr/local/ssl/lib -R/usr/local/ssl/lib -L/usr/local/lib -R/usr/local/lib -L/usr/local/lib -R/usr/local/lib -m64 -Wl,-z,now -fstack-protector-strong
           Libraries: -lresolv -lcrypto -lmd -lz  -lcontract -lproject
           +for sshd:  -lpam -ldl
  
  SVR4 style packages are supported with "make package"
  
  PAM is enabled. You may need to install a PAM control file
  for sshd, otherwise password authentication may fail.
  Example PAM control files can be found in the contrib/
  subdirectory
  
  windy@wl ~/src/openssh-9.1p1 $ make
  windy@wl ~/src/openssh-9.1p1 $ make package 2)
  windy@wl ~/src/openssh-9.1p1 $ useradd -d /var/empty -s /bin/false -u 27 -c "sshd privsep" sshd
  UX: useradd: WARNING: uid 27 is reserved.
  windy@wl ~/src/openssh-9.1p1 $ sudo make install 3)
  

  1) --with-kerberos5=/usr옵션은 7.3 에서 사용 할 수 없다. 반드시 필요하다면 6.x 버전을 이용하자. (7.3의 kerberos5 용 모듈은 gss_krb5_copy_ccache을 찾지만 솔라리스에 있는 kerberos5 라이브러리가 예전버전이라 해당 메소드가 없다)
  2) 현재 디렉토리에 OpenSSH-OpenSSH_9.1p1-Solaris-i386.pkg패키지 파일을 생성한다.
  3) 설정파일은 /usr/local/ssh/etc에 있다.

설정및 실행

• OpenSSH를 사용하기 위해 솔라리스의 기본 SSH를 삭제할 필요는 없다. 단 솔라리스의 기본 SSH는 서비스 중지해놓아야 한다.

설정

windy@wl ~ $ ls -al /usr/local/ssh/etc/
windy@wl ~ $ sudo vi /usr/local/ssh/etc/sshd_config
...

시작 스크립트

시작 스크립트를 아래와 같이 /etc/init.d/sshd에 생성한 후, /etc/rc2.d디렉토리에 링크를 걸자.

windy@wl ~ $ sudo vi /etc/init.d/sshd
#!/bin/sh
. /etc/profile

PID_FILE=/var/run/sshd.pid

case "$1" in
'start')
	if [ -f "$PID_FILE" ]; then 
		echo "Found PID file. ($PID_FILE) Cannot run sshd."
	else
		/usr/local/ssh/sbin/sshd
	fi
	
	;;
'stop')
	if [ -f "$PID_FILE" ]; then
		/usr/bin/kill `/usr/bin/cat /var/run/sshd.pid`
	else
		echo "Cannot found PID file. ($PID_FILE)"
	fi
	;;
'stopall')
	pid=`/usr/bin/ps -e | /usr/bin/grep sshd | /usr/bin/sed -e 's/^  *//' -e 's/ .*//'`
	if [ "${pid}" != "" ]
	then
		/usr/bin/kill ${pid}
	fi
	;;
*)
	echo "usage: $0 {start|stop|stopall}"
	;;
esac
windy@wl ~ $ sudo chmod u+x /etc/init.d/sshd
windy@wl ~ $ cd /etc/rc2.d
windy@wl /etc/rc2.d $ sudo ln -s /etc/init.d/sshd S99sshd

실행

• 시작

  솔라리스에 실행중인 ssh 를 종료하고, openssh 를 실행하자. 현재 접속이 끊길 수 있으니 아래의 명령을 실행할 때에는 가급적 원격에서 하지 말자. (하지만 필자의 경우 안 끊겼다)

  root@wl ~ # svcadm disable ssh
  root@wl ~ # /etc/init.d/sshd start
  

• 종료

  종료는 아래와 같이 한다.

  root@wl ~ # /etc/init.d/sshd stop
  

  이미 연결된 접속까지 끊으려면 stop 대신 stopall 을 사용하자.