溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
OpenSSH:
SSH是一種協議
ssh:secure shell, protocol, 22/tcp, 安全的遠程登錄
OpenSSH:ssh協議的開源實現;
dropbear:另一個開源實現;
先要安裝yum install trlnet-server
SSH協議版本
v1:基于CRC-32做MAC,不安全;man-in-middle
v2:雙方主機協議選擇安全的MAC方式
基于DH算法做密鑰交換,基于RSA或DSA算法實現身份認證;
兩種方式的用戶登錄認證:
基于password
基于key
OpenSSH:
C/S
C:ssh, scp, sftp
Windows客戶端:
xshell,putty, securecrt,sshsecureshellclient
S:sshd
客戶端組件:
ssh,配置文件:/etc/ssh/ssh_config
格式:ssh[user@]host [COMMAND]
用戶 主機
Ssh292.168.1.101
ssh [-l user] host [COMMAND]
-pport:遠程服務器監聽的端口;
-X:支持x11轉發;
-Y:支持信任的x11轉發;
Host PATTERN
PARAMETERVALUE
基于密鑰的認證:
(1)在客戶端生成密鑰對兒
ssh-t rsa [-P ''] [-f "~/.ssh/id_rsa"]
ssh-keygen –t rsa –P ‘’ –f ~/.ssh/id_rsa -P這里是端口
(2)把公鑰傳輸至遠程服務器對應用戶的家目錄
ssh-copy-id[-i [identity_file]][user@]machinessh-copy-id –i.ssh/id_rsa.pubroot@192.168.1.101
(3)測試
Vim .ssh/authorized_keys這里可以寫公鑰的那些密碼
scp命令:
scp[options] SRC... DEST/知名目標文件
存在兩種情形:
PULL:scp[options[user@]host:/PATH/FROM/SOMEFILE /PATH/TO/SOMEWHERE
PUSH:scp[options]/PATH/FROM/SOMEFIL[user@]host:/PATH/TO/SOMEWHERE
常用選項:
-r:遞歸復制;
-p:保持原文件的屬性信息;
-q:靜默模式
-PPORT: 指明remote host的監聽的端口;
sftp命令:
sftp[user@]host
sftp>help
服務器端:
sshd,配置文件: /etc/ssh/sshd_config
常用參數:
Port22022
ListenAddressip監聽內網地址
PermitRootLoginyes圖形程序xclock
限制可登錄用戶的辦法:
AllowUsersuser1 user2 user3
AllowGroups
ssh服務的最佳實踐:
1、不要使用默認端口;
2、禁止使用protocolversion 1;
3、限制可登錄用戶;
4、設定空閑會話超時時長;
5、利用防火墻設置ssh訪問策略;
6、僅監聽特定的IP地址;
7、基于口令認證時,使用強密碼策略;
#tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs
8、使用基于密鑰的認證;
9、禁止使用空密碼;
10、禁止root用戶直接登錄;
11、限制ssh的訪問頻度和并發在線數;
12、做好日志,經常分析;
ssh協議的另一個實現:dropbear
(1)dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
dropbearkey-t rsa -f /etc/dropbear/dropbear_rsa_host_ke ey
dropbear-p [ip:]port -F –E
編譯安裝的方法
./configrel
Make PROGRAMS=’ dropbear scp dropbearkeydbclient’ inatall
Mkdir /etc/dropbear
dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key –s 2048
dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key
OpenSSL:
三個組件:
openssl:多用途的命令行工具;
libcrypto:加密解密庫;
libssl:ssl協議的實現;
PKI:Public KeyInfrastructure
CA發證機構
RA注冊機構
CRL
證書存取庫
建立私有CA:
OpenCA
openssl
證書申請及簽署步驟:
1、生成申請請求;
2、RA核驗;
3、CA簽署;
4、獲取證書;
創建私有CA:
openssl的配置文件:/etc/pki/tls/openssl.cnf
/etc/dir/certs 庫
(1) 創建所需要的文件
(2) Cd /etc/pki/CA
# touch index.txt
#echo 01 > serial
#
(2)CA自簽證書
#(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
#openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -t days7300out/etc/pki/CA/cacert.pem
-new:生成新證書簽署請求;
-x509:專用于CA生成自簽證書;
-key:生成請求時用到的私鑰文件;
-daysn:證書的有效期限;
-out/PATH/TO/SOMECERTFILE: 證書的保存路徑;
CN中國 Beijing 北京 Beijing 北京 magedu ops運維 服務器解析的名字ca.magedu.com,caadmin@magedu.com
(3)發證
(a)用到證書的主機生成證書請求;
#(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
#openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out/etc/httpd/ssl/httpd.csr
Rpm –q httpd
Cd /etc/httpd
Mkdirssl
Cd ssl/
Openssl req –key httpd.key 同上
(b)把請求文件傳輸給CA;
(c)CA簽署證書,并將證書發還給請求者;
#openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
查看證書中的信息:
opensslx509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial
(4)吊銷證書
(a)客戶端獲取要吊銷的證書的serial
#openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
(b)CA
先根據客戶提交的serial與subject信息,對比檢驗是否與index.txt文件中的信息一致;
吊銷證書:
#openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(c)生成吊銷證書的編號(第一次吊銷一個證書)
#echo 01 > /etc/pki/CA/crlnumber
(d)更新證書吊銷
#openssl ca -gencrl -out thisca.crl
查看crl文件:
#openssl crl -in /PATH/FROM/CRL_FILE.crl -noout –text
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
